WSO2 API Manager में डेवलपर पोर्टल के माध्यम से क्रॉस-साइट स्क्रिप्टिंग UI संशोधन और जानकारी पुनर्प्राप्ति को सक्षम करता है
प्लेटफ़ॉर्म
javascript
घटक
wso2-api-manager
में ठीक किया गया
3.2.0
3.2.0.408
3.2.1.32
4.0.0.293
4.1.0.187
CVE-2024-4867 describes a Cross-Site Scripting (XSS) vulnerability within the WSO2 API Manager developer portal. This flaw arises from insufficient input validation and output encoding, allowing attackers to inject malicious scripts. The vulnerability impacts versions from 0.0.0 up to and including 4.1.0.187, and a fix is available in version 4.1.0.187.
प्रभाव और हमले की स्थितियाँ
WSO2 API Manager में CVE-2024-4867 डेवलपर पोर्टल को प्रभावित करता है, जिससे अपर्याप्त उपयोगकर्ता इनपुट सत्यापन और आउटपुट एन्कोडिंग के कारण दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन की अनुमति मिलती है। एक हमलावर उपयोगकर्ता के ब्राउज़र में JavaScript कोड इंजेक्ट कर सकता है, जिससे एप्लिकेशन की सुरक्षा और अखंडता से समझौता हो सकता है। इसके परिणामस्वरूप उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट किया जा सकता है, UI में हेरफेर किया जा सकता है या ब्राउज़र से संवेदनशील जानकारी (जैसे सत्र कुकी) प्राप्त की जा सकती है। CVSS के अनुसार इस भेद्यता की गंभीरता 5.4 है, और इसे महत्वपूर्ण भेद्यता (KEV) नहीं माना जाता है।
शोषण संदर्भ
यह भेद्यता डेवलपर पोर्टल के इनपुट फ़ील्ड में JavaScript कोड इंजेक्ट करके शोषण किया जाता है जिन्हें ठीक से मान्य नहीं किया गया है। एक हमलावर JavaScript कोड युक्त एक दुर्भावनापूर्ण अनुरोध बना सकता है, और यदि इस अनुरोध को उचित सत्यापन के बिना संसाधित किया जाता है, तो कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होगा। शोषण की सफलता हमलावर की कमजोर प्रवेश बिंदुओं को खोजने और स्क्रिप्ट इंजेक्शन के खिलाफ सुरक्षा की कमी पर निर्भर करती है। उपयोगकर्ता इनपुट सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
कौन जोखिम में हैअनुवाद हो रहा है…
Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.
पहचान के चरणअनुवाद हो रहा है…
• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content.
• generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields.
• javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization.
• javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.
हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
- Confidentiality
- निम्न — कुछ डेटा तक आंशिक पहुंच।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2024-4867 से जुड़े जोखिम को कम करने के लिए, हम WSO2 API Manager को संस्करण 4.1.0.187 या उच्चतर में अपग्रेड करने की पुरजोर अनुशंसा करते हैं। इस संस्करण में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को दूर करने के लिए आवश्यक फिक्स शामिल हैं। अपग्रेड करते समय, अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं, जैसे कि डेवलपर पोर्टल में सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और दुर्भावनापूर्ण स्क्रिप्ट के निष्पादन को रोकने के लिए उचित आउटपुट एन्कोडिंग। इसके अतिरिक्त, संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी करने की अनुशंसा की जाती है।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización. Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2024-4867 क्या है — WSO2 API Manager में Cross-Site Scripting (XSS)?
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
क्या मैं WSO2 API Manager में CVE-2024-4867 से प्रभावित हूं?
संस्करण 4.1.0.187 में डेवलपर पोर्टल में XSS भेद्यता को दूर करने के लिए आवश्यक फिक्स शामिल हैं।
WSO2 API Manager में CVE-2024-4867 को कैसे ठीक करें?
अस्थायी उपायों के रूप में सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करें। एप्लिकेशन लॉग की निगरानी करें।
क्या CVE-2024-4867 का सक्रिय रूप से शोषण किया जा रहा है?
यदि आप 4.1.0.187 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। पुष्टि करने के लिए प्रवेश परीक्षण करें।
CVE-2024-4867 के लिए WSO2 API Manager का आधिकारिक सुरक्षा सलाह कहां मिलेगी?
WSO2 API Manager के आधिकारिक दस्तावेज़ और उद्योग सुरक्षा सूचना स्रोतों से परामर्श करें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।