HIGHCVE-2024-2374CVSS 7.5

複数のWSO2製品におけるXML外部エンティティインジェクションにより、任意のファイル読み取りとサービス拒否が可能

プラットフォーム

java

コンポーネント

wso2-api-manager

修正版

3.1.0

3.1.0.278

3.2.0.368

4.0.0.280

4.1.0.206

4.2.0.144

4.3.0.57

5.10.0.300

5.11.0.329

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

WSO2 API Manager の複数の製品における XML パーサーに、外部エンティティの解決を適切に防止するための設定が欠けている脆弱性が存在します。この脆弱性を悪用されると、攻撃者は機密ファイルの読み出しや、製品からアクセス可能な HTTP リソースへのアクセスが可能になり、サーバーリソースを枯渇させることでサービス拒否攻撃を実行できます。影響を受けるバージョンは 0.0.0 から 6.1.0.136 であり、バージョン 6.1.0.136 で修正されています。

影響と攻撃シナリオ

WSO2 API Manager の CVE-2024-2374 は、複数の WSO2 製品の XML パーサーに影響を与えます。これらのパーサーは、外部エンティティの解決を防ぐために適切に構成されていない状態で、ユーザーが提供する XML データを許容します。これにより、悪意のある攻撃者はパーサーの動作を悪用する XML ペイロードを作成し、外部リソースの包含につながる可能性があります。潜在的な影響には、ファイルシステムからの機密ファイルの読み取りや、製品からアクセス可能な制限付き HTTP リソースへのアクセスが含まれます。XML 外部エンティティ (XXE) インジェクションに対する保護の欠如が問題の根本原因であり、攻撃者が XML パーサーのデータフローを操作することを可能にします。

悪用の状況

攻撃者は、XML データを処理するエンドポイントに特別に作成された XML ペイロードを送信することで、この脆弱性を悪用する可能性があります。このペイロードには、ローカルファイルまたは外部 HTTP リソースへの参照が含まれている可能性があります。XML パーサーが正しく構成されていない場合、これらのリソースを含めることができ、攻撃者が機密情報にアクセスしたり、悪意のあるコードを実行したりする可能性があります。悪用の複雑さは、特定の WSO2 製品の構成と、攻撃者が効果的な XML ペイロードを作成する能力によって異なります。入力検証の欠如は、悪用を容易にする主要な要因です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントwso2-api-manager

ベンダーWSO2

影響範囲修正版

0 – 3.0.93.1.0

3.1.0 – 3.1.0.2773.1.0.278

3.2.0 – 3.2.0.3673.2.0.368

4.0.0 – 4.0.0.2794.0.0.280

4.1.0 – 4.1.0.2054.1.0.206

4.2.0 – 4.2.0.1434.2.0.144

4.3.0 – 4.3.0.564.3.0.57

0 – 5.10.0.2995.10.0.300

5.10.0 – 5.10.0.2995.10.0.300

弱点分類 (CWE)

CWE-611

タイムライン

予約済み2024-03-11
公開日2026-04-16
EPSS 更新日2026-04-23

緩和策と回避策

CVE-2024-2374 の主な軽減策は、WSO2 API Manager をバージョン 6.1.0.136 以降にアップグレードすることです。さらに、可能な限り XML パーサーで外部エンティティの解決を無効にすることをお勧めします。これは、XML パーサーのプロパティを構成して外部リソースの読み込みを防ぐことで実現できます。WSO2 製品のセキュリティ構成をレビューおよび強化することは、将来の攻撃を防ぐために不可欠です。XML 処理に関連するシステムログの疑わしいアクティビティの監視も推奨されるプラクティスです。

修正方法翻訳中…

Actualice WSO2 API Manager a una versión corregida (3.1.0 o superior) para mitigar la vulnerabilidad de inyección de entidades externas XML.  Configure correctamente el analizador XML para deshabilitar la resolución de entidades externas o utilice una lista blanca de entidades permitidas. Consulte la documentación oficial de WSO2 para obtener instrucciones detalladas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-2374 とは何ですか？（WSO2 API Manager の Denial of Service (DoS)）

XXE は、攻撃者が XML パーサーのデータフローを操作して、不正なアクセスを許可しないリソースにアクセスできるようにするセキュリティ脆弱性です。

WSO2 API Manager の CVE-2024-2374 による影響を受けていますか？

6.1.0.136 より前のすべてのバージョンは、CVE-2024-2374 に対して脆弱です。

WSO2 API Manager の CVE-2024-2374 を修正するにはどうすればよいですか？

使用している WSO2 API Manager のバージョンを確認してください。6.1.0.136 より古い場合は、脆弱です。

CVE-2024-2374 は積極的に悪用されていますか？

XML パーサー構成で外部エンティティの解決を無効にすることは、一時的な回避策ですが、完全な解決策ではありません。

CVE-2024-2374 に関する WSO2 API Manager の公式アドバイザリはどこで確認できますか？

詳細については、WSO2 の公式ドキュメントとセキュリティアドバイザリを参照してください。