Plateforme
javascript
Composant
wso2-api-manager
Corrigé dans
3.2.0.401
3.2.0.401
4.0.0.318
CVE-2024-10242 est une vulnérabilité de type Cross-Site Scripting (XSS) dans l'endpoint d'authentification de WSO2 API Manager. L'endpoint ne valide pas correctement les entrées utilisateur avant de les renvoyer dans la réponse, permettant l'injection de scripts malveillants. Cette faille peut entraîner la redirection de l'utilisateur vers un site malveillant, la modification de l'interface utilisateur ou la récupération d'informations. La vulnérabilité affecte les versions de WSO2 API Manager de 0.0.0 à 4.0.0.318. Une correction est disponible dans la version 4.0.0.318.
La vulnérabilité CVE-2024-10242 dans WSO2 API Manager réside dans la validation insuffisante des entrées utilisateur au niveau du point d'accès d'authentification. Cela permet à un attaquant d'injecter des charges utiles de scripts malveillants dans les paramètres d'entrée, qui sont ensuite exécutés par le navigateur de la victime. Bien qu'une exploitation réussie puisse permettre à un attaquant de rediriger le navigateur de l'utilisateur vers un site web malveillant, de modifier l'interface utilisateur de la page web ou de récupérer des informations à partir du navigateur, l'impact est limité car les cookies sensibles liés à la session ne sont pas directement compromis. Le score CVSS est de 6,1, ce qui indique un risque modéré. Il est fortement recommandé de mettre à niveau vers la version 4.0.0.318 pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes malveillantes au point d'accès d'authentification de WSO2 API Manager. Ces requêtes incluraient des paramètres d'entrée manipulés contenant du code JavaScript malveillant. Si l'entrée n'est pas correctement validée, le navigateur de la victime exécutera ce code, permettant à l'attaquant de réaliser des actions telles que la redirection de l'utilisateur vers un site web de phishing, le vol de données d'identification ou la modification de l'apparence du site web. L'absence de validation des entrées est la cause première de la vulnérabilité, et la complexité du point d'accès d'authentification pourrait rendre la détection difficile.
Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.
• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2024-10242 consiste à mettre à niveau WSO2 API Manager vers la version 4.0.0.318 ou ultérieure. Cette version inclut les correctifs nécessaires pour valider correctement les entrées utilisateur et empêcher l'injection de scripts. En attendant, comme mesure d'atténuation temporaire, mettez en œuvre une Politique de sécurité du contenu (CSP) pour restreindre les sources de scripts pouvant être exécutés dans le navigateur. Il est également essentiel de surveiller régulièrement les journaux du serveur à la recherche d'activités suspectes liées au point d'accès d'authentification. La mise à niveau est la solution la plus efficace et recommandée pour éliminer complètement la vulnérabilité.
Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection de script est une vulnérabilité de sécurité qui permet à un attaquant d'injecter du code malveillant (généralement JavaScript) dans une page web. Ce code est ensuite exécuté dans le navigateur de l'utilisateur, permettant à l'attaquant de réaliser des actions malveillantes.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités de sécurité. Un score de 6,1 indique un risque modéré.
En tant que mesure temporaire, mettez en œuvre une Politique de sécurité du contenu (CSP) et surveillez les journaux du serveur à la recherche d'activités suspectes.
Oui, toutes les versions antérieures à 4.0.0.318 sont vulnérables à cette vulnérabilité.
Consultez la documentation officielle de WSO2 API Manager pour obtenir des instructions détaillées sur la façon de mettre à niveau vers la version 4.0.0.318 ou ultérieure.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.