Platform
java
Component
wso2-api-manager
Opgelost in
3.2.0.397
3.2.0.397
3.2.1.27
4.0.0.310
4.0.0.319
4.1.0.171
4.2.0.127
4.3.0.39
CVE-2024-8010 is een kwetsbaarheid van het type Arbitrary File Access die betrekking heeft op WSO2 API Manager. Deze kwetsbaarheid stelt aanvallers in staat om via een speciaal ontworpen XML payload vertrouwelijke bestanden te lezen of beperkte HTTP resources te benaderen. De kwetsbaarheid treft versies van WSO2 API Manager tussen 0.0.0 en 4.3.0.39 inclusief. Een patch is beschikbaar in versie 4.3.0.39.
CVE-2024-8010 in WSO2 API Manager stelt kwaadwillenden actoren in staat vertrouwelijke bestanden van het bestandssysteem van het product te lezen of toegang te krijgen tot beperkte HTTP-resources. Dit wordt bereikt door een speciaal ontworpen XML-payload via de publisher te verzenden, waarbij de uitschakeling van externe entiteitsresolutie wordt misbruikt. De kwetsbaarheid ligt in het accepteren van XML-invoer zonder juiste validatie, waardoor de manipulatie van externe entiteitsreferenties mogelijk wordt. De impact is aanzienlijk en kan gevoelige gegevens die op de server zijn opgeslagen, in gevaar brengen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardige XML-payload naar de API-publisher van WSO2 API Manager te sturen. Deze XML bevat externe entiteitsreferenties die verwijzen naar vertrouwelijke bestanden op het bestandssysteem van de server of toegankelijke HTTP-resources. Bij het verwerken van deze XML probeert het systeem deze externe entiteiten op te lossen, wat kan leiden tot ongeautoriseerde bestandslezing of toegang tot resources. Een succesvolle exploitatie vereist dat de aanvaller de mogelijkheid heeft om XML naar de API-publisher te sturen, wat mogelijk is als er geen adequate toegangscontroles zijn geïmplementeerd.
Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.
• java / server:
find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'• generic web:
curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity referencesdisclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om WSO2 API Manager te upgraden naar versie 4.3.0.39 of hoger. Deze versie bevat de nodige fixes om de kwetsbaarheid te verhelpen. Tijdens de upgrade dient u extra beveiligingsmaatregelen te overwegen, zoals het beperken van de toegang tot de API-publisher en het strikt valideren van alle XML-invoer. Het regelmatig toepassen van beveiligingspatches is een fundamentele praktijk om de veiligheid van het platform te waarborgen. Controleer en versterk bovendien de API-beveiligingsbeleidsregels om toekomstige vergelijkbare kwetsbaarheden te voorkomen.
Actualice WSO2 API Manager a la versión 3.2.0.397 o superior, 3.2.1.27 o superior, 4.0.0.310 o superior, 4.0.0.319 o superior, 4.1.0.171 o superior, 4.2.0.127 o superior, o 4.3.0.39 o superior para mitigar la vulnerabilidad de inyección de entidades externas XML. Esta actualización deshabilita la resolución de entidades externas en el componente Publisher, previniendo la lectura de archivos arbitrarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een externe entiteit in XML is een verwijzing naar een externe bron (bestand of URL) die in het XML-document is opgenomen. Externe entiteitsresolutie maakt het mogelijk dat XML inhoud uit andere bronnen opneemt.
Externe entiteitsresolutie kan gevaarlijk zijn als het niet correct wordt gecontroleerd, omdat het een aanvaller in staat stelt willekeurige inhoud in het XML-document op te nemen, wat kan leiden tot de uitvoering van kwaadaardige code of het lezen van bestanden.
Als u niet onmiddellijk kunt upgraden, implementeer dan mitigerende maatregelen, zoals het beperken van de toegang tot de API-publisher en het strikt valideren van alle XML-invoer.
Beveiligingsanalysep tools kunnen CVE-2024-8010 detecteren. Raadpleeg de WSO2-documentatie voor meer informatie.
Implementeer veilige ontwikkelingspraktijken, zoals invoervalidatie, gegevenssanering en de regelmatige toepassing van beveiligingspatches.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.