Platform
javascript
Component
wso2-api-manager
Opgelost in
3.2.0
3.2.0.408
3.2.1.32
4.0.0.293
4.1.0.187
CVE-2024-4867 describes a Cross-Site Scripting (XSS) vulnerability within the WSO2 API Manager developer portal. This flaw arises from insufficient input validation and output encoding, allowing attackers to inject malicious scripts. The vulnerability impacts versions from 0.0.0 up to and including 4.1.0.187, and a fix is available in version 4.1.0.187.
CVE-2024-4867 in WSO2 API Manager heeft betrekking op het ontwikkelaarsportaal en maakt het mogelijk om kwaadaardige scripts te injecteren als gevolg van onvoldoende validatie van gebruikersinvoer en ontbrekende correcte uitvoer-codering. Een aanvaller kan JavaScript-code injecteren die in de browser van de gebruiker wordt uitgevoerd, waardoor de veiligheid en integriteit van de applicatie in gevaar komt. Dit kan leiden tot doorverwijzing van de gebruiker naar kwaadaardige websites, manipulatie van de gebruikersinterface of het ophalen van gevoelige informatie uit de browser, zoals sessiecookies. De ernst van deze kwetsbaarheid wordt beoordeeld op 5.4 volgens CVSS en wordt niet beschouwd als een belangrijke kwetsbaarheid (KEV).
De kwetsbaarheid wordt uitgebuit door het injecteren van JavaScript-code in invoervelden van het ontwikkelaarsportaal die niet correct worden gevalideerd. Een aanvaller kan een kwaadaardig verzoek maken dat JavaScript-code bevat, en als dit verzoek wordt verwerkt zonder correcte validatie, wordt de code in de browser van de gebruiker uitgevoerd. Het succes van de uitbuiting hangt af van het vermogen van de aanvaller om kwetsbare ingangspunten te vinden en het ontbreken van bescherming tegen scriptinjectie. Het ontbreken van een robuuste validatie van gebruikersinvoer is de belangrijkste oorzaak van deze kwetsbaarheid.
Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.
• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content.
• generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields.
• javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization.
• javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Om het risico dat verband houdt met CVE-2024-4867 te beperken, raden we ten zeerste aan om WSO2 API Manager bij te werken naar versie 4.1.0.187 of hoger. Deze versie bevat de nodige fixes om de Cross-Site Scripting (XSS)-kwetsbaarheid te verhelpen. Tijdens de update kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals de strenge validatie van alle gebruikersinvoer in het ontwikkelaarsportaal en de juiste codering van de uitvoer om de uitvoering van kwaadaardige scripts te voorkomen. Bovendien wordt aanbevolen om de applicatielogboeken te controleren op verdachte activiteiten.
Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización. Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingslek dat aanvallers in staat stelt kwaadaardige scripts in webpagina's te injecteren die door andere gebruikers worden bekeken.
Versie 4.1.0.187 bevat de nodige fixes om de XSS-kwetsbaarheid in het ontwikkelaarsportaal te verhelpen.
Implementeer strenge invoervalidatie en uitvoer-codering als tijdelijke maatregelen. Controleer de applicatielogboeken.
Als u een versie gebruikt die vóór 4.1.0.187 ligt, is de kans groot dat u kwetsbaar bent. Voer penetratietests uit om dit te bevestigen.
Raadpleeg de officiële documentatie van WSO2 API Manager en branchebronnen voor beveiligingsinformatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.