Plataforma
java
Componente
carbon-registry
Corregido en
4.8.1
4.8.2
4.8.3
4.8.4
4.8.5
4.8.6
4.8.7
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en WSO2 carbon-registry, afectando a las versiones desde 4.8.0 hasta 4.8.6. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación de parámetros de solicitud, comprometiendo potencialmente la seguridad de los usuarios. La actualización a la versión 4.8.7, que incluye el parche 9f967abfde9317bee2cda469dbc09b57d539f2cc, soluciona esta vulnerabilidad.
La vulnerabilidad XSS en carbon-registry permite a un atacante ejecutar código JavaScript malicioso en el contexto del navegador de un usuario legítimo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información confidencial o para realizar acciones en nombre del usuario afectado. La manipulación del parámetro parentPath/path/username/path/profile_menu es el vector de ataque principal. La severidad, aunque clasificada como baja, puede escalar rápidamente si se combina con otras vulnerabilidades o si se explota contra usuarios con privilegios elevados.
Esta vulnerabilidad fue publicada el 15 de diciembre de 2022. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a ataques oportunistas. No se ha añadido a la lista KEV de CISA. La disponibilidad de un parche oficial indica que el proveedor está al tanto del problema y lo considera una prioridad.
Organizations using WSO2 Carbon Registry for identity and access management, particularly those running versions 4.8.0 through 4.8.6, are at risk. Environments where Carbon Registry is exposed directly to the internet or integrated with other critical systems are at higher risk. Shared hosting environments utilizing Carbon Registry are also vulnerable.
• linux / server: Monitor Carbon Registry logs for unusual activity related to the parentPath/path/username/path/profile_menu parameter. Use journalctl -f to observe real-time log entries.
• generic web: Use curl to test the affected endpoint with various payloads containing <script> tags. Example: curl 'http://your-carbon-registry/path?parentPath/path/username/path/profile_menu=<script>alert(1)</script>'
• database (mysql): If Carbon Registry uses a database, check for suspicious entries in the user profiles table that might indicate a successful XSS attack.
disclosure
Estado del Exploit
EPSS
0.27% (51% percentil)
Vector CVSS
La mitigación principal para CVE-2022-4521 es actualizar a la versión 4.8.7 de WSO2 carbon-registry. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario y la aplicación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en los parámetros de la URL. Verifique después de la actualización que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice el componente carbon-registry a la versión 4.8.7 o posterior. Esto solucionará la vulnerabilidad de cross-site scripting. Puede encontrar la actualización en el repositorio oficial de WSO2.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-4521 is a cross-site scripting (XSS) vulnerability in WSO2 Carbon Registry versions 4.8.0 through 4.8.6, allowing attackers to inject malicious scripts.
If you are running WSO2 Carbon Registry versions 4.8.0 through 4.8.6, you are potentially affected by this vulnerability.
Upgrade WSO2 Carbon Registry to version 4.8.7 or later to address the vulnerability. Apply patch 9f967abfde9317bee2cda469dbc09b57d539f2cc.
There is currently no evidence of active exploitation of CVE-2022-4521.
Refer to the WSO2 security advisory for detailed information and updates: [https://nvd.nist.gov/vuln/detail/CVE-2022-4521](https://nvd.nist.gov/vuln/detail/CVE-2022-4521)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.