Plateforme
java
Composant
wso2-api-manager
Corrigé dans
3.1.0
3.1.0.351
3.2.0.455
3.2.1.74
4.0.0.375
4.1.0.238
5.10.0.360
5.11.0.405
CVE-2025-6024 est une vulnérabilité de type Cross-Site Scripting (XSS) découverte dans WSO2 API Manager. L'endpoint d'authentification ne valide pas correctement les entrées utilisateur, permettant l'injection de scripts malveillants. Cette faille peut entraîner la redirection de l'utilisateur vers un site malveillant, la manipulation de l'interface utilisateur ou la récupération d'informations. La vulnérabilité affecte les versions de WSO2 API Manager de 0.0.0 à 5.11.0.405. Une correction est disponible dans la version 5.11.0.405.
La vulnérabilité CVE-2025-6024 dans WSO2 API Manager représente un risque d'injection de scripts (XSS) au niveau du point d'accès d'authentification. En raison d'un encodage insuffisant des données fournies par l'utilisateur avant leur rendu dans la page web, un attaquant peut injecter des scripts malveillants. Cela pourrait entraîner la redirection du navigateur de l'utilisateur vers des sites web malveillants, la manipulation de l'interface utilisateur de la page web ou la récupération d'informations à partir du navigateur. Bien que le flag 'httpOnly' protège les informations de session, la vulnérabilité XSS permet toujours des attaques qui peuvent compromettre l'expérience utilisateur et potentiellement exposer des données non sensibles.
Un attaquant pourrait exploiter cette vulnérabilité en injectant des scripts malveillants dans les champs d'entrée du formulaire d'authentification (par exemple, nom d'utilisateur, mot de passe). Ces scripts s'exécuteraient dans le navigateur de l'utilisateur lorsque la page est rendue, permettant à l'attaquant de réaliser des actions telles que le vol de cookies (bien que le flag httpOnly limite l'accès aux cookies de session), l'affichage de contenu faux ou la redirection de l'utilisateur vers un site web contrôlé par l'attaquant. L'absence de validation des données au niveau du point d'accès d'authentification est la cause principale de cette vulnérabilité.
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.
• linux / server:
journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"• generic web:
curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"• generic web:
Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2025-6024 consiste à mettre à niveau WSO2 API Manager vers la version 5.11.0.405 ou supérieure. Cette version inclut les correctifs nécessaires pour encoder correctement les données fournies par l'utilisateur au niveau du point d'accès d'authentification, atténuant ainsi le risque d'injection de scripts. Il est recommandé d'appliquer cette mise à niveau dès que possible pour protéger votre environnement API Manager. De plus, examinez les pratiques de validation et d'encodage des données dans l'ensemble de l'application afin de prévenir de futures vulnérabilités XSS. Surveiller les journaux du serveur à la recherche d'activités suspectes est également une bonne pratique de sécurité.
Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Non, le flag 'httpOnly' sur les cookies de session protège contre le vol direct des données d'identification de session. Cependant, l'attaquant peut toujours effectuer d'autres attaques XSS.
Si la mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles qu'un pare-feu d'applications web (WAF) pour filtrer le trafic malveillant.
Vérifiez la version de WSO2 API Manager que vous utilisez. Si elle est antérieure à 5.11.0.405, elle est vulnérable.
Les scripts malveillants pourraient inclure JavaScript pour rediriger vers de faux sites web, afficher des fenêtres pop-up ou voler des informations du navigateur.
Il existe des outils d'analyse de vulnérabilités XSS qui peuvent aider à identifier cette vulnérabilité. Consultez la documentation de WSO2 pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.