प्लेटफ़ॉर्म
java
घटक
wso2-api-manager
में ठीक किया गया
3.1.0
3.1.0.351
3.2.0.455
3.2.1.74
4.0.0.375
4.1.0.238
5.10.0.360
5.11.0.405
CVE-2025-6024 WSO2 API Manager में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता के कारण, हमलावर प्रमाणीकरण बिंदु पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जिससे वेब पेज के उपयोगकर्ता इंटरफ़ेस में हेरफेर या ब्राउज़र से जानकारी की पुनर्प्राप्ति हो सकती है। यह भेद्यता WSO2 API Manager के 0.0.0 से 5.11.0.405 तक के संस्करणों को प्रभावित करती है। WSO2 API Manager 5.11.0.405 में इस समस्या का समाधान किया गया है।
WSO2 API Manager में CVE-2025-6024 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का प्रतिनिधित्व करता है, जो प्रमाणीकरण एंडपॉइंट में मौजूद है। उपयोगकर्ता द्वारा प्रदान किए गए इनपुट को वेब पेज पर प्रस्तुत करने से पहले उचित एन्कोडिंग की कमी के कारण, एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। इससे उपयोगकर्ता के ब्राउज़र को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है, वेब पेज के उपयोगकर्ता इंटरफ़ेस में हेरफेर किया जा सकता है या ब्राउज़र से जानकारी प्राप्त की जा सकती है। जबकि 'httpOnly' फ़्लैग सत्र-संबंधित कुकीज़ को सुरक्षित करता है, यह XSS भेद्यता अभी भी ऐसे हमलों की अनुमति देती है जो उपयोगकर्ता अनुभव को खतरे में डाल सकती हैं और संभावित रूप से गैर-संवेदनशील डेटा को उजागर कर सकती हैं।
एक हमलावर प्रमाणीकरण फॉर्म के इनपुट फ़ील्ड (जैसे उपयोगकर्ता नाम, पासवर्ड) में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। जब पेज प्रस्तुत किया जाता है तो इन स्क्रिप्ट को उपयोगकर्ता के ब्राउज़र में निष्पादित किया जाएगा, जिससे हमलावर कुकीज़ चोरी करने (हालांकि httpOnly फ़्लैग सत्र कुकीज़ तक पहुंच को सीमित करता है), गलत सामग्री प्रदर्शित करने या उपयोगकर्ता को हमलावर द्वारा नियंत्रित वेबसाइट पर पुनर्निर्देशित करने जैसे कार्य करने में सक्षम हो जाएगा। प्रमाणीकरण एंडपॉइंट पर इनपुट सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.
• linux / server:
journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"• generic web:
curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"• generic web:
Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-6024 के लिए समाधान WSO2 API Manager को संस्करण 5.11.0.405 या उच्चतर में अपग्रेड करना है। इस संस्करण में आवश्यक फिक्स शामिल हैं ताकि प्रमाणीकरण एंडपॉइंट पर उपयोगकर्ता इनपुट को ठीक से एन्कोड किया जा सके, जिससे स्क्रिप्ट इंजेक्शन का जोखिम कम हो सके। अपने API Manager वातावरण की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, भविष्य की XSS भेद्यताओं को रोकने के लिए एप्लिकेशन में इनपुट सत्यापन और एन्कोडिंग प्रथाओं की समीक्षा करना महत्वपूर्ण है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना भी एक अच्छी सुरक्षा प्रथा है।
Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, सत्र कुकीज़ पर 'httpOnly' फ़्लैग सत्र क्रेडेंशियल की सीधी चोरी को रोकता है। हालाँकि, हमलावर अभी भी अन्य XSS हमले कर सकते हैं।
यदि तत्काल अपग्रेड संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने जैसे अतिरिक्त सुरक्षा उपाय करने पर विचार करें ताकि दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर किया जा सके।
जांचें कि आप WSO2 API Manager का कौन सा संस्करण उपयोग कर रहे हैं। यदि यह 5.11.0.405 से पहले का है, तो यह भेद्य है।
दुर्भावनापूर्ण स्क्रिप्ट में गलत वेबसाइटों पर पुनर्निर्देशित करने, पॉप-अप प्रदर्शित करने या ब्राउज़र से जानकारी चोरी करने के लिए जावास्क्रिप्ट शामिल हो सकती है।
ऐसे XSS भेद्यता स्कैनिंग उपकरण हैं जो इस भेद्यता की पहचान करने में मदद कर सकते हैं। अधिक जानकारी के लिए WSO2 दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।