MEDIUMCVE-2024-10242CVSS 6.1

WSO2 API Manager 中通过身份验证终端点进行的反射型跨站脚本攻击允许修改 UI 和重定向

平台

javascript

组件

wso2-api-manager

修复版本

3.2.0.401

4.0.0.318

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-10242 是 WSO2 API Manager 中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞源于身份验证端点未能充分验证用户输入，导致恶意脚本可以被注入并执行。成功利用此漏洞可能允许攻击者重定向用户、修改网页界面或窃取浏览器信息，但由于httpOnly标志保护了会话相关的敏感cookie，因此无法进行会话劫持。受影响的版本包括 0.0.0 到 4.0.0.318，已在 4.0.0.318 版本中修复。

影响与攻击场景

WSO2 API Manager 中的 CVE-2024-10242 漏洞源于认证端点对用户输入验证不足。这使得攻击者可以将恶意脚本负载注入到输入参数中，并在受害者的浏览器中执行这些参数。虽然成功利用可能允许攻击者将用户的浏览器重定向到恶意网站、修改网页的 UI 或从浏览器中检索信息，但影响有限，因为与会话相关的敏感 Cookie 未直接泄露。CVSS 分数为 6.1，表示中等风险。强烈建议升级到 4.0.0.318 版本以降低此风险。

利用背景

攻击者可以通过向 WSO2 API Manager 的认证端点发送恶意请求来利用此漏洞。这些请求将包含包含恶意 JavaScript 代码的操作输入参数。如果输入未正确验证，受害者的浏览器将执行此代码，允许攻击者执行诸如将用户重定向到网络钓鱼网站、窃取凭据或修改网站外观等操作。输入验证不足是此漏洞的根本原因，而认证端点的复杂性可能会使检测变得困难。

哪些人处于风险中翻译中…

Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.

检测步骤翻译中…

• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件wso2-api-manager

供应商WSO2

影响范围修复版本

0.0.0 – 3.1.93.2.0.401

3.2.0 – 3.2.03.2.0.401

4.0.0 – 4.0.04.0.0.318

弱点分类 (CWE)

CWE-79

时间线

已保留2024-10-22
发布日期2026-04-16
EPSS 更新日期2026-04-23

缓解措施和替代方案

CVE-2024-10242 的解决方案是将 WSO2 API Manager 升级到 4.0.0.318 或更高版本。此版本包含必要的修复程序，以正确验证用户输入并防止脚本注入。作为临时缓解措施，建议实施内容安全策略 (CSP)，以限制浏览器中可以执行的脚本来源。定期监控服务器日志中与认证端点相关的可疑活动也很重要。升级是完全消除此漏洞的最有效和推荐的解决方案。

修复方法翻译中…

Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2024-10242 是什么 — WSO2 API Manager 中的 Cross-Site Scripting (XSS)？

脚本注入是一种安全漏洞，允许攻击者将恶意代码（通常是 JavaScript）注入到网页中。然后，此代码在用户的浏览器中执行，允许攻击者执行恶意操作。

WSO2 API Manager 中的 CVE-2024-10242 是否会影响我？

CVSS (Common Vulnerability Scoring System) 是用于评估安全漏洞严重程度的标准。6.1 的分数表示中等风险。

如何修复 WSO2 API Manager 中的 CVE-2024-10242？

作为临时措施，实施内容安全策略 (CSP) 并监控服务器日志中是否存在可疑活动。

CVE-2024-10242 是否正在被积极利用？

是的，4.0.0.318 之前的版本都容易受到此漏洞的影响。

在哪里可以找到 WSO2 API Manager 关于 CVE-2024-10242 的官方安全通告？

请参阅 WSO2 API Manager 的官方文档，以获取有关如何升级到 4.0.0.318 或更高版本的详细说明。