プラットフォーム
javascript
コンポーネント
wso2-api-manager
修正版
3.2.0.401
3.2.0.401
4.0.0.318
CVE-2024-10242は、WSO2 API Managerの認証エンドポイントにおいて、ユーザーからの入力検証が不十分なために発生するクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能となり、ウェブページのUIを改ざんしたり、ブラウザから情報を窃取したりする可能性があります。影響を受けるバージョンは0.0.0から4.0.0.318です。バージョン4.0.0.318でこの脆弱性は修正されています。
WSO2 API Manager の CVE-2024-10242 は、認証エンドポイントにおけるユーザーからの入力検証の不備に起因します。これにより、攻撃者は入力パラメータに悪意のあるスクリプトペイロードを注入し、被害者のブラウザで実行させることが可能になります。攻撃が成功した場合、攻撃者はユーザーのブラウザを悪意のあるウェブサイトにリダイレクトしたり、ウェブページの UI を変更したり、ブラウザから情報を取得したりする可能性があります。ただし、セッション関連の機密性の高い Cookie が直接侵害されないため、影響は限定的です。CVSS スコアは 6.1 で、中程度のリスクを示しています。このリスクを軽減するために、バージョン 4.0.0.318 へのアップグレードを強く推奨します。
攻撃者は、WSO2 API Manager の認証エンドポイントに悪意のあるリクエストを送信することで、この脆弱性を悪用する可能性があります。これらのリクエストには、悪意のある JavaScript コードを含む操作された入力パラメータが含まれます。入力が正しく検証されない場合、被害者のブラウザはこのコードを実行し、攻撃者がユーザーをフィッシングウェブサイトにリダイレクトしたり、認証情報を盗んだり、ウェブサイトの外観を変更したりするなどのアクションを実行できるようになります。入力検証の欠如が脆弱性の根本原因であり、認証エンドポイントの複雑さにより、検出が困難になる可能性があります。
Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.
• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.
disclosure
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2024-10242 の解決策は、WSO2 API Manager をバージョン 4.0.0.318 以降にアップグレードすることです。このバージョンには、ユーザー入力を適切に検証し、スクリプトインジェクションを防止するために必要な修正が含まれています。一時的な軽減策として、Content Security Policy (CSP) を実装して、ブラウザで実行できるスクリプトのソースを制限することを推奨します。また、認証エンドポイントに関連する疑わしいアクティビティについて、サーバーログを定期的に監視することも重要です。完全な脆弱性の排除には、アップグレードが最も効果的で推奨される解決策です。
Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.
脆弱性分析と重要アラートをメールでお届けします。
スクリプトインジェクションは、攻撃者が通常 JavaScript のような悪意のあるコードをウェブページに注入できるセキュリティ脆弱性です。このコードはユーザーのブラウザで実行され、攻撃者が悪意のあるアクションを実行できるようになります。
CVSS (Common Vulnerability Scoring System) は、セキュリティ脆弱性の深刻度を評価するための標準です。6.1 のスコアは、中程度のリスクを示します。
一時的な対策として、Content Security Policy (CSP) を実装し、サーバーログを疑わしいアクティビティについて監視してください。
はい、4.0.0.318 より前のすべてのバージョンがこの脆弱性の影響を受けます。
詳細な手順については、WSO2 API Manager の公式ドキュメントを参照してください。