WSO2 API Manager में प्रकाशक के माध्यम से XML बाहरी इकाई इंजेक्शन मनमाना फ़ाइलों को पढ़ने की अनुमति देता है

WSO2 API Manager में CVE-2024-8010 दुर्भावनापूर्ण एक्टर्स को उत्पाद के फ़ाइल सिस्टम से गोपनीय फ़ाइलों को पढ़ने या सीमित HTTP संसाधनों तक पहुंचने की अनुमति देता है। यह एक तैयार XML पेलोड को प्रकाशक के माध्यम से सबमिट करके, बाहरी इकाई समाधान को अक्षम करने में विफलता का लाभ उठाकर प्राप्त किया जाता है। यह भेद्यता उचित सत्यापन के बिना XML इनपुट स्वीकार करने से उत्पन्न होती है, जो बाहरी इकाई संदर्भों के हेरफेर को सक्षम करती है। प्रभाव महत्वपूर्ण है और सर्वर पर संग्रहीत संवेदनशील डेटा को खतरे में डाल सकता है।

Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.

• java / server:

find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'

• generic web:

curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity references

1. 2026-04-16Disclosure

   disclosure

1. आरक्षित2024-08-20
2. प्रकाशित2026-04-16
3. EPSS अद्यतन2026-04-23

अनुशंसित समाधान WSO2 API Manager को संस्करण 4.3.0.39 या उच्चतर में अपग्रेड करना है। इस संस्करण में भेद्यता को कम करने के लिए आवश्यक फिक्स शामिल हैं। अपग्रेड करते समय, API प्रकाशक तक पहुंच को प्रतिबंधित करने और सभी XML इनपुट को सख्ती से मान्य करने जैसे अतिरिक्त सुरक्षा उपायों पर विचार करें। प्लेटफ़ॉर्म की सुरक्षा बनाए रखने के लिए नियमित रूप से सुरक्षा पैच लागू करना एक मौलिक अभ्यास है। इसके अलावा, भविष्य में समान भेद्यताओं को रोकने के लिए API सुरक्षा नीतियों की समीक्षा और मजबूत करें।