Plateforme
java
Composant
wso2-api-manager
Corrigé dans
3.2.0.397
3.2.0.397
3.2.1.27
4.0.0.310
4.0.0.319
4.1.0.171
4.2.0.127
4.3.0.39
CVE-2024-8010 est une vulnérabilité d'accès arbitraire aux fichiers dans WSO2 API Manager. Le composant accepte des entrées XML sans désactiver la résolution d'entités externes, permettant à un attaquant de soumettre une charge utile XML malveillante pour lire des fichiers confidentiels ou accéder à des ressources HTTP limitées. La vulnérabilité affecte les versions de WSO2 API Manager de 0.0.0 à 4.3.0.39. Une correction est disponible dans la version 4.3.0.39.
La vulnérabilité CVE-2024-8010 dans WSO2 API Manager permet à des acteurs malveillants de lire des fichiers confidentiels du système de fichiers du produit ou d'accéder à des ressources HTTP limitées. Cela est réalisé en soumettant une charge utile XML conçue via le publisheur, en exploitant l'absence de désactivation de la résolution d'entités externes. La vulnérabilité découle de l'acceptation d'entrées XML sans validation appropriée, permettant la manipulation des références d'entités externes. L'impact est significatif, compromettant potentiellement des données sensibles stockées sur le serveur.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une charge utile XML malveillante au publisheur de l'API WSO2 API Manager. Ce XML contient des références d'entités externes pointant vers des fichiers confidentiels sur le système de fichiers du serveur ou des ressources HTTP accessibles. Lors du traitement de ce XML, le système tente de résoudre ces entités externes, ce qui peut entraîner une lecture non autorisée de fichiers ou un accès à des ressources. L'exploitation réussie nécessite que l'attaquant ait la capacité d'envoyer du XML au publisheur de l'API, ce qui peut être possible si des contrôles d'accès adéquats ne sont pas mis en œuvre.
Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.
• java / server:
find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'• generic web:
curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity referencesdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau WSO2 API Manager vers la version 4.3.0.39 ou supérieure. Cette version inclut les correctifs nécessaires pour atténuer la vulnérabilité. Pendant la mise à niveau, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès au publisheur de l'API et la validation stricte de toutes les entrées XML. L'application régulière de correctifs de sécurité est une pratique fondamentale pour maintenir la sécurité de la plateforme. De plus, examinez et renforcez les politiques de sécurité de l'API pour prévenir de futures vulnérabilités similaires.
Actualice WSO2 API Manager a la versión 3.2.0.397 o superior, 3.2.1.27 o superior, 4.0.0.310 o superior, 4.0.0.319 o superior, 4.1.0.171 o superior, 4.2.0.127 o superior, o 4.3.0.39 o superior para mitigar la vulnerabilidad de inyección de entidades externas XML. Esta actualización deshabilita la resolución de entidades externas en el componente Publisher, previniendo la lectura de archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une entité externe en XML est une référence à une ressource externe (fichier ou URL) qui est incluse dans le document XML. La résolution d'entités externes permet au XML d'inclure du contenu provenant d'autres sources.
La résolution d'entités externes peut être dangereuse si elle n'est pas contrôlée correctement, car elle permet à un attaquant d'inclure un contenu arbitraire dans le document XML, ce qui peut entraîner l'exécution de code malveillant ou la lecture de fichiers confidentiels.
Si vous ne pouvez pas mettre à niveau immédiatement, mettez en œuvre des mesures d'atténuation telles que la restriction de l'accès au publisheur de l'API et la validation stricte de toutes les entrées XML.
Des outils d'analyse de sécurité peuvent détecter la vulnérabilité CVE-2024-8010. Consultez la documentation de WSO2 pour plus d'informations.
Mettez en œuvre des pratiques de développement sécurisées, telles que la validation des entrées, la désinfection des données et l'application régulière de correctifs de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.