Plataforma
java
Componente
wso2-api-manager
Corrigido em
3.1.0
3.1.0.351
3.2.0.455
3.2.1.74
4.0.0.375
4.1.0.238
5.10.0.360
5.11.0.405
A vulnerabilidade CVE-2025-6024 afeta o WSO2 API Manager, permitindo a injeção de scripts Cross-Site Scripting (XSS) no endpoint de autenticação. Essa falha ocorre devido à ausência de codificação adequada da entrada fornecida pelo usuário antes de ser exibida na página web, possibilitando a execução de código malicioso no navegador da vítima. As versões afetadas incluem as do 0.0.0 até a 5.11.0.405, sendo que uma correção foi disponibilizada na versão 5.11.0.405.
A vulnerabilidade CVE-2025-6024 no WSO2 API Manager representa um risco de injeção de scripts (XSS) no endpoint de autenticação. Devido à falta de codificação adequada da entrada fornecida pelo usuário antes de renderizá-la na página web, um atacante pode injetar código malicioso. Isso pode resultar na redirecionamento do navegador do usuário para sites maliciosos, manipulação da interface do usuário da página web ou na obtenção de informações do navegador. Embora a flag 'httpOnly' proteja as informações da sessão, a vulnerabilidade ainda permite ataques de XSS que podem comprometer a experiência do usuário e potencialmente expor dados não sensíveis.
Um atacante pode explorar esta vulnerabilidade injetando scripts maliciosos nos campos de entrada do formulário de autenticação (por exemplo, nome de usuário, senha). Esses scripts serão executados no navegador do usuário quando a página for renderizada, permitindo que o atacante realize ações como roubar cookies (embora a flag httpOnly limite o acesso aos cookies de sessão), exibir conteúdo falso ou redirecionar o usuário para um site controlado pelo atacante. A falta de validação de entrada no endpoint de autenticação é a causa principal desta vulnerabilidade.
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.
• linux / server:
journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"• generic web:
curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"• generic web:
Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A solução para CVE-2025-6024 é atualizar o WSO2 API Manager para a versão 5.11.0.405 ou superior. Esta versão inclui as correções necessárias para codificar corretamente a entrada do usuário no endpoint de autenticação, mitigando assim o risco de injeção de scripts. Recomenda-se aplicar esta atualização o mais breve possível para proteger seu ambiente de API Manager. Além disso, recomenda-se revisar as práticas de codificação e validação de entradas em toda a aplicação para prevenir futuras vulnerabilidades de XSS. Monitorar os logs do servidor em busca de atividades suspeitas também é uma boa prática de segurança.
Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Não, a flag 'httpOnly' nas cookies de sessão protege contra o roubo direto de credenciais de sessão. No entanto, o atacante ainda pode realizar outros ataques XSS.
Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como um firewall de aplicativos web (WAF) para filtrar o tráfego malicioso.
Verifique a versão do WSO2 API Manager que você está usando. Se for anterior a 5.11.0.405, é vulnerável.
Os scripts maliciosos poderiam incluir JavaScript para redirecionar para sites falsos, exibir janelas pop-up ou roubar informações do navegador.
Existem ferramentas de verificação de vulnerabilidades XSS que podem ajudar a identificar esta vulnerabilidade. Consulte a documentação do WSO2 para obter mais informações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.