プラットフォーム
java
コンポーネント
wso2-api-manager
修正版
3.2.0.397
3.2.0.397
3.2.1.27
4.0.0.310
4.0.0.319
4.1.0.171
4.2.0.127
4.3.0.39
WSO2 API Managerのパブリッシャーコンポーネントにおいて、外部エンティティ解決が無効化されていないXML入力を受け入れる脆弱性が存在します。この脆弱性を悪用されると、攻撃者は機密ファイルへのアクセスや、HTTP GETリクエストを通じてアクセス可能なHTTPリソースへのアクセスが可能になります。影響を受けるバージョンは0.0.0から4.3.0.39です。バージョン4.3.0.39で修正が提供されています。
WSO2 API Manager の CVE-2024-8010 は、悪意のある攻撃者が製品のファイルシステムから機密ファイルを読み取ったり、制限された HTTP リソースにアクセスしたりすることを可能にします。これは、パブリッシャーを介して作成された XML ペイロードを送信することで、外部エンティティ解決を無効にしないことを利用して実現されます。この脆弱性は、適切な検証なしに XML 入力を受け入れることから生じ、外部エンティティ参照の操作が可能になります。影響は大きく、サーバーに保存されている機密データを危険にさらす可能性があります。
攻撃者は、WSO2 API Manager の API パブリッシャーに悪意のある XML ペイロードを送信することで、この脆弱性を悪用する可能性があります。この XML には、サーバーのファイルシステム上の機密ファイルまたはアクセス可能な HTTP リソースを指す外部エンティティ参照が含まれています。この XML を処理する際、システムはこれらの外部エンティティを解決しようと試み、結果として許可されていないファイル読み取りまたはリソースアクセスにつながる可能性があります。成功した悪用には、攻撃者が API パブリッシャーに XML を送信できる能力が必要であり、適切なアクセス制御が実装されていない場合、それは可能になる可能性があります。
Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.
• java / server:
find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'• generic web:
curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity referencesdisclosure
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、WSO2 API Manager をバージョン 4.3.0.39 以降にアップグレードすることです。このバージョンには、脆弱性を軽減するために必要な修正が含まれています。アップグレード中に、API パブリッシャーへのアクセスを制限したり、すべての XML 入力を厳密に検証したりするなど、追加のセキュリティ対策を検討してください。プラットフォームのセキュリティを維持するために、セキュリティパッチを定期的に適用することが基本です。さらに、将来の同様の脆弱性を防止するために、API セキュリティポリシーをレビューおよび強化してください。
Actualice WSO2 API Manager a la versión 3.2.0.397 o superior, 3.2.1.27 o superior, 4.0.0.310 o superior, 4.0.0.319 o superior, 4.1.0.171 o superior, 4.2.0.127 o superior, o 4.3.0.39 o superior para mitigar la vulnerabilidad de inyección de entidades externas XML. Esta actualización deshabilita la resolución de entidades externas en el componente Publisher, previniendo la lectura de archivos arbitrarios.
脆弱性分析と重要アラートをメールでお届けします。
XML における外部エンティティは、XML ドキュメントに含まれる外部リソース (ファイルまたは URL) への参照です。外部エンティティ解決により、XML は他のソースからコンテンツを含めることができます。
外部エンティティ解決は、適切に制御されない場合、危険です。攻撃者が XML ドキュメントに任意のコンテンツを含めることができ、悪意のあるコードの実行やファイルの読み取りにつながる可能性があります。
すぐにアップグレードできない場合は、API パブリッシャーへのアクセスを制限したり、すべての XML 入力を厳密に検証したりするなど、軽減策を実装してください。
セキュリティ分析ツールは CVE-2024-8010 を検出できます。詳細については、WSO2 のドキュメントを参照してください。
入力検証、データサニタイズ、セキュリティパッチの定期的な適用など、安全な開発プラクティスを実装してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。