Plataforma
java
Componente
wso2-api-manager
Corrigido em
3.2.0.397
3.2.0.397
3.2.1.27
4.0.0.310
4.0.0.319
4.1.0.171
4.2.0.127
4.3.0.39
A vulnerabilidade CVE-2024-8010 reside no WSO2 API Manager, onde a falta de desativação da resolução de entidades externas em entradas XML permite a exploração por meio de payloads XML maliciosos. Um atacante pode ler arquivos confidenciais do sistema de arquivos do produto ou acessar recursos HTTP limitados. Versões afetadas incluem de 0.0.0 até 4.3.0.39, sendo que uma correção foi implementada na versão 4.3.0.39.
A vulnerabilidade CVE-2024-8010 no WSO2 API Manager permite que atacantes maliciosos leiam arquivos confidenciais do sistema de arquivos do produto ou acessem recursos HTTP limitados. Isso é alcançado enviando um payload XML especialmente elaborado através do editor de API, explorando a falta de desativação da resolução de entidades externas. A vulnerabilidade reside na aceitação de entradas XML sem uma validação adequada, permitindo a manipulação de referências a entidades externas. O impacto é significativo, podendo comprometer dados sensíveis armazenados no servidor.
Um atacante pode explorar esta vulnerabilidade enviando um payload XML malicioso para o editor de API do WSO2 API Manager. Este XML contém referências a entidades externas que apontam para arquivos confidenciais no sistema de arquivos do servidor ou para recursos HTTP acessíveis. Ao processar este XML, o sistema tentará resolver essas entidades externas, o que pode resultar na leitura não autorizada dos arquivos ou no acesso aos recursos. A exploração bem-sucedida requer que o atacante tenha a capacidade de enviar XML para o editor de API, o que pode ser possível se controles de acesso adequados não forem implementados.
Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.
• java / server:
find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'• generic web:
curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity referencesdisclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o WSO2 API Manager para a versão 4.3.0.39 ou superior. Esta versão inclui as correções necessárias para mitigar a vulnerabilidade. Enquanto a atualização é realizada, considere implementar medidas de segurança adicionais, como restringir o acesso ao editor de API e validar estritamente todas as entradas XML. A aplicação regular de patches de segurança é uma prática fundamental para manter a segurança da plataforma. Além disso, revise e fortaleça as políticas de segurança da API para prevenir futuras vulnerabilidades semelhantes.
Actualice WSO2 API Manager a la versión 3.2.0.397 o superior, 3.2.1.27 o superior, 4.0.0.310 o superior, 4.0.0.319 o superior, 4.1.0.171 o superior, 4.2.0.127 o superior, o 4.3.0.39 o superior para mitigar la vulnerabilidad de inyección de entidades externas XML. Esta actualización deshabilita la resolución de entidades externas en el componente Publisher, previniendo la lectura de archivos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma entidade externa em XML é uma referência a um recurso externo (arquivo ou URL) que é incluído no documento XML. A resolução de entidades externas permite que o XML inclua conteúdo de outras fontes.
A resolução de entidades externas pode ser perigosa se não for controlada adequadamente, pois permite que um atacante inclua conteúdo arbitrário no documento XML, o que pode levar à execução de código malicioso ou à leitura de arquivos confidenciais.
Se não puder atualizar imediatamente, implemente medidas de mitigação, como restringir o acesso ao editor de API e validar estritamente todas as entradas XML.
Existem ferramentas de análise de segurança que podem detectar a vulnerabilidade CVE-2024-8010. Consulte a documentação do WSO2 para obter mais informações.
Implemente práticas de desenvolvimento seguro, como validação de entrada, sanitização de dados e aplicação regular de patches de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.