Plateforme
javascript
Composant
wso2-api-manager
Corrigé dans
3.2.0
3.2.0.408
3.2.1.32
4.0.0.293
4.1.0.187
CVE-2024-4867 est une vulnérabilité de type Cross-Site Scripting (XSS) dans le portail développeur de WSO2 API Manager. Le portail accepte des entrées utilisateur sans validation ni encodage approprié, permettant l'injection de scripts malveillants. Cette faille peut entraîner la redirection de l'utilisateur vers un site malveillant, la modification de l'interface utilisateur ou la récupération d'informations. La vulnérabilité affecte les versions de WSO2 API Manager de 0.0.0 à 4.1.0.187. Une correction est disponible dans la version 4.1.0.187.
La vulnérabilité CVE-2024-4867 dans WSO2 API Manager affecte le portail développeur, permettant l'injection de scripts malveillants en raison d'une validation inadéquate des entrées utilisateur et d'un encodage de sortie insuffisant. Un attaquant peut injecter du code JavaScript qui s'exécute dans le navigateur de l'utilisateur, compromettant la sécurité et l'intégrité de l'application. Cela peut entraîner le renvoi de l'utilisateur vers des sites web malveillants, la manipulation de l'interface utilisateur ou la récupération d'informations sensibles du navigateur, telles que les cookies de session. La gravité de cette vulnérabilité est notée 5.4 selon le CVSS, et elle n'est pas considérée comme une vulnérabilité clé (KEV).
La vulnérabilité est exploitée par l'injection de code JavaScript dans les champs d'entrée du portail développeur qui ne sont pas correctement validés. Un attaquant peut créer une requête malveillante contenant du code JavaScript, et si cette requête est traitée sans validation appropriée, le code s'exécutera dans le navigateur de l'utilisateur. Le succès de l'exploitation dépend de la capacité de l'attaquant à trouver des points d'entrée vulnérables et du manque de protection contre l'injection de scripts. L'absence d'une validation robuste des entrées utilisateur est la cause principale de cette vulnérabilité.
Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.
• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content.
• generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields.
• javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization.
• javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Pour atténuer le risque associé à CVE-2024-4867, nous recommandons fortement de mettre à niveau WSO2 API Manager vers la version 4.1.0.187 ou supérieure. Cette version inclut les correctifs nécessaires pour résoudre la vulnérabilité Cross-Site Scripting (XSS). Pendant la mise à niveau, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que la validation stricte de toutes les entrées utilisateur dans le portail développeur et l'encodage approprié de la sortie pour empêcher l'exécution de scripts malveillants. De plus, il est recommandé de surveiller les journaux d'application à la recherche d'activités suspectes.
Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización. Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
La version 4.1.0.187 contient les correctifs nécessaires pour résoudre la vulnérabilité XSS dans le portail développeur.
Mettez en œuvre une validation stricte des entrées et un encodage de sortie comme mesures temporaires. Surveillez les journaux d'application.
Si vous utilisez une version antérieure à 4.1.0.187, vous êtes probablement vulnérable. Effectuez des tests d'intrusion pour confirmer.
Consultez la documentation officielle de WSO2 API Manager et les sources d'informations sur la sécurité de l'industrie.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.