प्लेटफ़ॉर्म
javascript
घटक
wso2-api-manager
में ठीक किया गया
3.2.0.401
3.2.0.401
4.0.0.318
CVE-2024-10242 WSO2 API Manager में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता के माध्यम से, एक हमलावर उपयोगकर्ता-प्रदत्त इनपुट को ठीक से मान्य किए बिना प्रतिक्रिया में प्रतिबिंबित कर सकता है, जिससे दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट की जा सकती हैं। इसका प्रभाव सीमित है क्योंकि सत्र-संबंधित संवेदनशील कुकीज़ httpOnly ध्वज द्वारा संरक्षित हैं, लेकिन यह अभी भी वेब पेज के UI को संशोधित करने या ब्राउज़र से जानकारी प्राप्त करने की अनुमति दे सकता है। यह भेद्यता WSO2 API Manager के 0.0.0 से 4.0.0.318 तक के संस्करणों को प्रभावित करती है, और 4.0.0.318 में एक पैच उपलब्ध है।
WSO2 API Manager में CVE-2024-10242 भेद्यता प्रमाणीकरण एंडपॉइंट पर उपयोगकर्ता इनपुट सत्यापन की कमी के कारण है। यह एक हमलावर को इनपुट पैरामीटर में दुर्भावनापूर्ण स्क्रिप्ट पेलोड इंजेक्ट करने और उन्हें पीड़ित के ब्राउज़र में निष्पादित करने की अनुमति देता है। सफल शोषण की स्थिति में, एक हमलावर उपयोगकर्ता के ब्राउज़र को दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित कर सकता है, वेबपेज के UI को संशोधित कर सकता है या ब्राउज़र से जानकारी प्राप्त कर सकता है। हालांकि, प्रभाव सीमित है क्योंकि सत्र-संबंधित संवेदनशील कुकीज़ सीधे समझौता नहीं की जाती हैं। CVSS स्कोर 6.1 है, जो मध्यम जोखिम दर्शाता है। इस जोखिम को कम करने के लिए संस्करण 4.0.0.318 में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
एक हमलावर WSO2 API Manager के प्रमाणीकरण एंडपॉइंट पर दुर्भावनापूर्ण अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। इन अनुरोधों में दुर्भावनापूर्ण JavaScript कोड युक्त हेरफेर किए गए इनपुट पैरामीटर शामिल होंगे। यदि इनपुट को ठीक से मान्य नहीं किया जाता है, तो पीड़ित का ब्राउज़र इस कोड को निष्पादित करेगा, जिससे हमलावर उपयोगकर्ता को फ़िशिंग वेबसाइट पर पुनर्निर्देशित करने, क्रेडेंशियल्स चुराने या वेबसाइट के स्वरूप को संशोधित करने जैसे कार्य करने में सक्षम हो जाएगा। इनपुट सत्यापन की कमी इस भेद्यता का मूल कारण है, और प्रमाणीकरण एंडपॉइंट की जटिलता का पता लगाना मुश्किल बना सकती है।
Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.
• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-10242 के लिए समाधान WSO2 API Manager को संस्करण 4.0.0.318 या उच्चतर में अपग्रेड करना है। इस संस्करण में उपयोगकर्ता इनपुट को सही ढंग से मान्य करने और स्क्रिप्ट इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। एक अस्थायी शमन उपाय के रूप में, ब्राउज़र में निष्पादित किए जा सकने वाले स्क्रिप्ट के स्रोतों को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) को लागू करने की सिफारिश की जाती है। सर्वर लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि प्रमाणीकरण एंडपॉइंट से संबंधित संदिग्ध गतिविधि का पता चल सके। इस भेद्यता को पूरी तरह से समाप्त करने के लिए अपग्रेड सबसे प्रभावी और अनुशंसित समाधान है।
Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
स्क्रिप्ट इंजेक्शन एक सुरक्षा भेद्यता है जो एक हमलावर को वेबपेज में दुर्भावनापूर्ण कोड (आमतौर पर JavaScript) इंजेक्ट करने की अनुमति देती है। फिर इस कोड को उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाता है, जिससे हमलावर दुर्भावनापूर्ण कार्य करने में सक्षम हो जाता है।
CVSS (कॉमन भेद्यता स्कोरिंग सिस्टम) सुरक्षा भेद्यताओं की गंभीरता का मूल्यांकन करने के लिए एक मानक है। 6.1 का स्कोर मध्यम जोखिम दर्शाता है।
एक अस्थायी उपाय के रूप में, सामग्री सुरक्षा नीति (CSP) को लागू करें और सर्वर लॉग की संदिग्ध गतिविधि के लिए निगरानी करें।
हाँ, 4.0.0.318 से पहले के सभी संस्करण इस भेद्यता के प्रति संवेदनशील हैं।
विस्तृत निर्देशों के लिए WSO2 API Manager के आधिकारिक दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।