प्लेटफ़ॉर्म
java
घटक
wso2-api-manager
में ठीक किया गया
3.1.0
3.1.0.278
3.2.0.368
4.0.0.280
4.1.0.206
4.2.0.144
4.3.0.57
5.10.0.300
5.10.0.300
5.11.0.329
CVE-2024-2374 WSO2 API Manager में एक Denial of Service (DoS) भेद्यता है जो XML पार्सर में बाहरी संस्थाओं को ठीक से रोकने के लिए कॉन्फ़िगरेशन की कमी के कारण उत्पन्न होती है। इस भेद्यता का उपयोग करके, एक हमलावर गोपनीय फ़ाइलों को पढ़ सकता है और सीमित HTTP संसाधनों तक पहुंच सकता है, साथ ही सर्वर संसाधनों को समाप्त करके DoS हमले भी कर सकता है। यह भेद्यता WSO2 API Manager के संस्करण 0.0.0 से 6.1.0.136 तक के संस्करणों को प्रभावित करती है। संस्करण 6.1.0.136 में एक पैच उपलब्ध है।
WSO2 API Manager में CVE-2024-2374 कई WSO2 उत्पादों में XML पार्सर को प्रभावित करता है। ये पार्सर बाहरी संस्थाओं के समाधान को रोकने के लिए ठीक से कॉन्फ़िगर नहीं किए जाने पर उपयोगकर्ता द्वारा प्रदान किए गए XML डेटा को स्वीकार करते हैं। यह दुर्भावनापूर्ण हमलावरों को पार्सर के व्यवहार का शोषण करने वाले XML पेलोड बनाने की अनुमति देता है, जिससे बाहरी संसाधनों का समावेश होता है। संभावित प्रभाव में फ़ाइल सिस्टम से गोपनीय फ़ाइलों को पढ़ना और उत्पाद द्वारा एक्सेस किए जा सकने वाले प्रतिबंधित HTTP संसाधनों तक पहुंच शामिल है। XML बाहरी इकाई (XXE) इंजेक्शन के खिलाफ सुरक्षा की कमी इस समस्या का मूल कारण है, जो हमलावर को XML पार्सर के डेटा प्रवाह में हेरफेर करने की अनुमति देता है।
एक हमलावर इस भेद्यता का शोषण करने के लिए XML डेटा को संसाधित करने वाले एंडपॉइंट पर विशेष रूप से तैयार XML पेलोड भेज सकता है। इस पेलोड में स्थानीय फ़ाइलों या बाहरी HTTP संसाधनों के संदर्भ शामिल हो सकते हैं। यदि XML पार्सर को ठीक से कॉन्फ़िगर नहीं किया गया है, तो यह इन संसाधनों को शामिल कर सकता है, जिससे हमलावर गोपनीय जानकारी तक पहुंच प्राप्त कर सकता है या दुर्भावनापूर्ण कोड निष्पादित कर सकता है। शोषण की जटिलता विशिष्ट WSO2 उत्पाद कॉन्फ़िगरेशन और हमलावर की प्रभावी XML पेलोड बनाने की क्षमता पर निर्भर करती है। इनपुट सत्यापन की कमी शोषण को सुविधाजनक बनाने वाला एक प्रमुख कारक है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-2374 के लिए प्राथमिक शमन WSO2 API Manager को संस्करण 6.1.0.136 या बाद के संस्करण में अपग्रेड करना है जिसमें फिक्स शामिल है। इसके अतिरिक्त, जहां भी संभव हो XML पार्सर में बाहरी इकाई समाधान को अक्षम करने की अनुशंसा की जाती है। यह XML पार्सर गुणों को कॉन्फ़िगर करके बाहरी संसाधनों को लोड होने से रोकने के द्वारा प्राप्त किया जा सकता है। भविष्य के हमलों को रोकने के लिए WSO2 उत्पादों के सुरक्षा कॉन्फ़िगरेशन की समीक्षा और मजबूत करना महत्वपूर्ण है। XML प्रसंस्करण से संबंधित सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी भी एक अनुशंसित अभ्यास है।
Actualice WSO2 API Manager a una versión corregida (3.1.0 o superior) para mitigar la vulnerabilidad de inyección de entidades externas XML. Configure correctamente el analizador XML para deshabilitar la resolución de entidades externas o utilice una lista blanca de entidades permitidas. Consulte la documentación oficial de WSO2 para obtener instrucciones detalladas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XXE एक सुरक्षा भेद्यता है जो हमलावरों को अनधिकृत संसाधनों तक पहुंचने के लिए XML पार्सर के डेटा प्रवाह में हेरफेर करने की अनुमति देती है।
6.1.0.136 से पहले के सभी संस्करण CVE-2024-2374 के प्रति संवेदनशील हैं।
आप जिस WSO2 API Manager संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 6.1.0.136 से पुराना है, तो यह कमजोर है।
XML पार्सर कॉन्फ़िगरेशन में बाहरी इकाई समाधान को अक्षम करना एक अस्थायी समाधान है, लेकिन यह एक पूर्ण समाधान नहीं है।
अधिक विवरण के लिए WSO2 के आधिकारिक दस्तावेज़ और सुरक्षा सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।