プラットフォーム
javascript
コンポーネント
wso2-api-manager
修正版
3.2.0
3.2.0.408
3.2.1.32
4.0.0.293
4.1.0.187
WSO2 API Managerのデベロッパーポータルにおいて、ユーザーからの入力を適切に検証・エンコードせずに処理する脆弱性が確認されました。このクロスサイトスクリプティング(XSS)により、攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ内で実行させることが可能となります。影響を受けるバージョンは0.0.0から4.1.0.187までですが、バージョン4.1.0.187でこの脆弱性は修正されています。
WSO2 API Manager の CVE-2024-4867 は、開発者ポータルに影響を与え、ユーザー入力の検証不足と出力エンコーディングの不備により、悪意のあるスクリプトの挿入を可能にします。攻撃者は、ユーザーのブラウザで実行される JavaScript コードを挿入し、アプリケーションのセキュリティと整合性を損なう可能性があります。これにより、悪意のある Web サイトへのリダイレクト、UI の操作、またはブラウザから機密情報の取得 (セッション Cookie など) が発生する可能性があります。この脆弱性の重大度は、CVSS に従って 5.4 と評価されており、重要な脆弱性 (KEV) とはみなされません。
この脆弱性は、適切に検証されていない開発者ポータルの入力フィールドに JavaScript コードを挿入することで悪用されます。攻撃者は、JavaScript コードを含む悪意のあるリクエストを作成し、このリクエストが適切な検証なしに処理されると、コードがユーザーのブラウザで実行されます。悪用を成功させるには、攻撃者が脆弱なエントリポイントを見つけ、スクリプトインジェクションに対する保護がないことが必要です。ユーザー入力の堅牢な検証の欠如が、この脆弱性の主な原因です。
Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.
• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content.
• generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields.
• javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization.
• javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.
disclosure
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
CVE-2024-4867 に関連するリスクを軽減するために、WSO2 API Manager をバージョン 4.1.0.187 以降にアップグレードすることを強くお勧めします。このバージョンには、クロスサイトスクリプティング (XSS) 脆弱性を修正するために必要な修正が含まれています。アップグレード中に、開発者ポータルでのすべてのユーザー入力の厳格な検証と、悪意のあるスクリプトの実行を防ぐための適切な出力エンコーディングなど、追加のセキュリティ対策を実装できます。さらに、アプリケーションログを不審なアクティビティがないか監視することをお勧めします。
Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización. Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.
脆弱性分析と重要アラートをメールでお届けします。
XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の種類です。
バージョン 4.1.0.187 には、開発者ポータルの XSS 脆弱性を修正するために必要な修正が含まれています。
一時的な対策として、厳格な入力検証と出力エンコーディングを実装してください。アプリケーションログを監視してください。
4.1.0.187 より前のバージョンを使用している場合は、脆弱である可能性が高いです。侵入テストを実行して確認してください。
WSO2 API Manager の公式ドキュメントと、業界のセキュリティ情報ソースを参照してください。
CVSS ベクトル