प्लेटफ़ॉर्म
javascript
घटक
wso2-api-manager
में ठीक किया गया
3.2.0
3.2.0.408
3.2.1.32
4.0.0.293
4.1.0.187
CVE-2024-4867 describes a Cross-Site Scripting (XSS) vulnerability within the WSO2 API Manager developer portal. This flaw arises from insufficient input validation and output encoding, allowing attackers to inject malicious scripts. The vulnerability impacts versions from 0.0.0 up to and including 4.1.0.187, and a fix is available in version 4.1.0.187.
WSO2 API Manager में CVE-2024-4867 डेवलपर पोर्टल को प्रभावित करता है, जिससे अपर्याप्त उपयोगकर्ता इनपुट सत्यापन और आउटपुट एन्कोडिंग के कारण दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन की अनुमति मिलती है। एक हमलावर उपयोगकर्ता के ब्राउज़र में JavaScript कोड इंजेक्ट कर सकता है, जिससे एप्लिकेशन की सुरक्षा और अखंडता से समझौता हो सकता है। इसके परिणामस्वरूप उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट किया जा सकता है, UI में हेरफेर किया जा सकता है या ब्राउज़र से संवेदनशील जानकारी (जैसे सत्र कुकी) प्राप्त की जा सकती है। CVSS के अनुसार इस भेद्यता की गंभीरता 5.4 है, और इसे महत्वपूर्ण भेद्यता (KEV) नहीं माना जाता है।
यह भेद्यता डेवलपर पोर्टल के इनपुट फ़ील्ड में JavaScript कोड इंजेक्ट करके शोषण किया जाता है जिन्हें ठीक से मान्य नहीं किया गया है। एक हमलावर JavaScript कोड युक्त एक दुर्भावनापूर्ण अनुरोध बना सकता है, और यदि इस अनुरोध को उचित सत्यापन के बिना संसाधित किया जाता है, तो कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होगा। शोषण की सफलता हमलावर की कमजोर प्रवेश बिंदुओं को खोजने और स्क्रिप्ट इंजेक्शन के खिलाफ सुरक्षा की कमी पर निर्भर करती है। उपयोगकर्ता इनपुट सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.
• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content.
• generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields.
• javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization.
• javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-4867 से जुड़े जोखिम को कम करने के लिए, हम WSO2 API Manager को संस्करण 4.1.0.187 या उच्चतर में अपग्रेड करने की पुरजोर अनुशंसा करते हैं। इस संस्करण में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को दूर करने के लिए आवश्यक फिक्स शामिल हैं। अपग्रेड करते समय, अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं, जैसे कि डेवलपर पोर्टल में सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन को रोकने के लिए उचित आउटपुट एन्कोडिंग। इसके अतिरिक्त, संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी करने की अनुशंसा की जाती है।
Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización. Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
संस्करण 4.1.0.187 में डेवलपर पोर्टल में XSS भेद्यता को दूर करने के लिए आवश्यक फिक्स शामिल हैं।
अस्थायी उपायों के रूप में सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करें। एप्लिकेशन लॉग की निगरानी करें।
यदि आप 4.1.0.187 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। पुष्टि करने के लिए प्रवेश परीक्षण करें।
WSO2 API Manager के आधिकारिक दस्तावेज़ और उद्योग सुरक्षा सूचना स्रोतों से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।