プラットフォーム
java
コンポーネント
wso2-api-manager
修正版
3.1.0
3.1.0.351
3.2.0.455
3.2.1.74
4.0.0.375
4.1.0.238
5.10.0.360
5.11.0.405
WSO2 API Managerの認証エンドポイントにおいて、ユーザーからの入力が適切にエンコードされずにWebページに表示される脆弱性が確認されました。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webページのユーザーインターフェースを操作したり、ブラウザから情報を窃取する可能性があります。影響を受けるバージョンは0.0.0から5.11.0.405です。バージョン5.11.0.405で修正が提供されています。
WSO2 API Manager の CVE-2025-6024 は、認証エンドポイントにおける XSS(クロスサイトスクリプティング)脆弱性を示します。 ユーザーが提供する入力を Web ページにレンダリングする前に適切なエンコードが行われないため、攻撃者は悪意のあるスクリプトを注入できます。 これにより、ユーザーのブラウザが不正な Web サイトにリダイレクトされたり、Web ページのユーザーインターフェイスが操作されたり、ブラウザから情報が取得されたりする可能性があります。 'httpOnly' フラグがセッション関連の Cookie を保護していますが、この XSS 脆弱性は、ユーザーエクスペリエンスを損ない、機密性の低いデータへの露出につながる可能性のある攻撃を依然として許可します。
攻撃者は、認証フォームの入力フィールド(ユーザー名、パスワードなど)に悪意のあるスクリプトを注入することで、この脆弱性を悪用する可能性があります。 これらのスクリプトは、ページがレンダリングされるときにユーザーのブラウザで実行され、攻撃者が Cookie の窃盗(ただし、httpOnly フラグによりセッション Cookie へのアクセスが制限されます)、偽のコンテンツの表示、または攻撃者が制御する Web サイトへのユーザーのリダイレクトなどのアクションを実行できるようになります。 認証エンドポイントでの入力検証の欠如が、この脆弱性の根本原因です。
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.
• linux / server:
journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"• generic web:
curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"• generic web:
Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.
disclosure
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2025-6024 の解決策は、WSO2 API Manager をバージョン 5.11.0.405 以降にアップグレードすることです。 このバージョンには、認証エンドポイントでユーザー入力を適切にエンコードするために必要な修正が含まれており、スクリプトインジェクションのリスクを軽減します。 API Manager 環境を保護するために、できるだけ早くこのアップデートを適用することをお勧めします。 さらに、アプリケーション全体で入力検証とエンコーディングのプラクティスを見直し、将来の XSS 脆弱性を防ぐことが重要です。 サーバーログを不審なアクティビティがないか監視することも、優れたセキュリティプラクティスです。
Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).
脆弱性分析と重要アラートをメールでお届けします。
いいえ、セッション Cookie の 'httpOnly' フラグは、セッション認証情報の直接的な窃盗を防ぎます。 ただし、攻撃者は依然として他の XSS 攻撃を実行できます。
すぐにアップグレードできない場合は、Web Application Firewall (WAF) を実装して悪意のあるトラフィックをフィルタリングするなど、追加のセキュリティ対策を検討してください。
使用している WSO2 API Manager のバージョンを確認してください。 5.11.0.405 より前のバージョンを使用している場合は、脆弱です。
悪意のあるスクリプトには、偽の Web サイトへのリダイレクト、ポップアップの表示、またはブラウザからの情報の窃盗を行う JavaScript が含まれる可能性があります。
この脆弱性を特定するのに役立つ XSS 脆弱性スキャンツールがあります。 詳細については、WSO2 のドキュメントを参照してください。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。