Platform
javascript
Component
wso2-api-manager
Opgelost in
3.2.0.401
3.2.0.401
4.0.0.318
CVE-2024-10242 is een Cross-Site Scripting (XSS) kwetsbaarheid in WSO2 API Manager. Deze kwetsbaarheid ontstaat doordat de authenticatie-endpoint user-supplied input niet adequaat valideert, waardoor kwaadaardige scripts in de response kunnen worden weergegeven. Succesvolle exploitatie kan leiden tot redirects, UI-manipulatie of het stelen van informatie, hoewel sessiecookies beschermd zijn. De kwetsbaarheid treft versies van WSO2 API Manager tussen 0.0.0 en 4.0.0.318, maar is verholpen in versie 4.0.0.318.
CVE-2024-10242 in WSO2 API Manager betreft onvoldoende validatie van gebruikersinvoer binnen het authenticatie-eindpunt. Dit stelt een aanvaller in staat om kwaadaardige script-payloads in invoerparameters te injecteren, die vervolgens door de browser van het slachtoffer worden uitgevoerd. Hoewel succesvolle exploitatie een aanvaller in staat kan stellen om de browser van de gebruiker door te sturen naar een kwaadaardige website, de gebruikersinterface van de webpagina te wijzigen of informatie uit de browser op te halen, is de impact beperkt omdat sessie-gerelateerde gevoelige cookies niet direct worden gecompromitteerd. De CVSS-score is 6.1, wat een matig risico aangeeft. Het wordt ten zeerste aanbevolen om te upgraden naar versie 4.0.0.318 om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid exploiteren door kwaadaardige verzoeken naar het authenticatie-eindpunt van WSO2 API Manager te sturen. Deze verzoeken zouden gemanipuleerde invoerparameters bevatten met kwaadaardige JavaScript-code. Als de invoer niet correct wordt gevalideerd, voert de browser van het slachtoffer deze code uit, waardoor de aanvaller acties kan uitvoeren, zoals het doorsturen van de gebruiker naar een phishing-website, het stelen van inloggegevens of het wijzigen van het uiterlijk van de website. Het ontbreken van invoervalidatie is de hoofdoorzaak van de kwetsbaarheid, en de complexiteit van het authenticatie-eindpunt kan de detectie bemoeilijken.
Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.
• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2024-10242 is om WSO2 API Manager te upgraden naar versie 4.0.0.318 of hoger. Deze versie bevat de nodige fixes om gebruikersinvoer correct te valideren en scriptinjectie te voorkomen. In de tussentijd, als tijdelijke mitigatie, implementeer dan een Content Security Policy (CSP) om de bronnen van scripts die in de browser kunnen worden uitgevoerd te beperken. Regelmatig controleren van serverlogs op verdachte activiteiten in verband met het authenticatie-eindpunt is ook cruciaal. De upgrade is de meest effectieve en aanbevolen oplossing om de kwetsbaarheid volledig te elimineren.
Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Scriptinjectie is een beveiligingslek dat een aanvaller in staat stelt om kwaadaardige code (meestal JavaScript) in een webpagina te injecteren. Deze code wordt vervolgens uitgevoerd in de browser van de gebruiker, waardoor de aanvaller kwaadaardige acties kan uitvoeren.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van beveiligingslekken. Een score van 6.1 duidt op een matig risico.
Als tijdelijke maatregel, implementeer dan een Content Security Policy (CSP) en controleer serverlogs op verdachte activiteiten.
Ja, alle versies vóór 4.0.0.318 zijn kwetsbaar voor deze kwetsbaarheid.
Raadpleeg de officiële documentatie van WSO2 API Manager voor gedetailleerde instructies over hoe u kunt upgraden naar versie 4.0.0.318 of hoger.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.