平台
java
组件
wso2-api-manager
修复版本
3.1.0
3.1.0.278
3.2.0.368
4.0.0.280
4.1.0.206
4.2.0.144
4.3.0.57
5.10.0.300
5.10.0.300
5.11.0.329
CVE-2024-2374是WSO2 API Manager中发现的拒绝服务漏洞。该漏洞源于XML解析器未能正确配置以防止外部实体解析,允许攻击者通过构造恶意的XML负载来耗尽服务器资源。此漏洞影响WSO2 API Manager 0.0.0到6.1.0.136版本,已在6.1.0.136版本中修复。
WSO2 API Manager 中的 CVE-2024-2374 影响了多个 WSO2 产品中的 XML 解析器。这些解析器在未正确配置以防止外部实体解析的情况下,接受用户提供的 XML 数据。这使得恶意攻击者能够创建利用解析器行为的 XML 负载,从而包含外部资源。潜在的影响包括从文件系统读取机密文件以及访问产品可访问的受限 HTTP 资源。缺乏对 XML 外部实体 (XXE) 注入的保护是问题的根本原因,使攻击者能够操纵 XML 解析器的信息流。
攻击者可以通过向处理 XML 数据的终端节点发送专门设计的 XML 负载来利用此漏洞。此负载可能包含对本地文件或外部 HTTP 资源的引用。如果 XML 解析器未正确配置,则可能会包含这些资源,从而允许攻击者访问机密信息或执行恶意代码。利用的复杂性取决于特定的 WSO2 产品配置以及攻击者创建有效 XML 负载的能力。缺乏输入验证是促进利用的关键因素。
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVE-2024-2374 的主要缓解措施是将 WSO2 API Manager 升级到版本 6.1.0.136 或更高版本,其中包含修复程序。此外,建议尽可能在 XML 解析器中禁用外部实体解析。这可以通过配置 XML 解析器属性来防止加载外部资源来实现。审查和强化 WSO2 产品的安全配置对于防止未来攻击至关重要。监控系统日志中与 XML 处理相关的可疑活动也是推荐的做法。
Actualice WSO2 API Manager a una versión corregida (3.1.0 o superior) para mitigar la vulnerabilidad de inyección de entidades externas XML. Configure correctamente el analizador XML para deshabilitar la resolución de entidades externas o utilice una lista blanca de entidades permitidas. Consulte la documentación oficial de WSO2 para obtener instrucciones detalladas.
漏洞分析和关键警报直接发送到您的邮箱。
XXE 是一种安全漏洞,它允许攻击者操纵 XML 解析器的信息流以访问未经授权的资源。
所有早于 6.1.0.136 的版本都容易受到 CVE-2024-2374 的攻击。
检查您使用的 WSO2 API Manager 的版本。如果它早于 6.1.0.136,则容易受到攻击。
在 XML 解析器配置中禁用外部实体解析是一种临时解决方法,但不是完整的解决方案。
请参阅 WSO2 的官方文档和安全公告以获取更多详细信息。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。