MEDIUMCVE-2024-4867CVSS 5.4

WSO2 API Manager 中通过开发者门户进行的跨站脚本攻击允许修改 UI 和检索信息

平台

javascript

组件

wso2-api-manager

修复版本

3.2.0

3.2.0.408

3.2.1.32

4.0.0.293

4.1.0.187

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2024-4867 describes a Cross-Site Scripting (XSS) vulnerability within the WSO2 API Manager developer portal. This flaw arises from insufficient input validation and output encoding, allowing attackers to inject malicious scripts. The vulnerability impacts versions from 0.0.0 up to and including 4.1.0.187, and a fix is available in version 4.1.0.187.

影响与攻击场景

WSO2 API Manager 的 CVE-2024-4867 影响开发者门户，由于用户输入验证不足和输出编码不当，允许恶意脚本注入。攻击者可以在用户的浏览器中注入 JavaScript 代码，从而危及应用程序的安全性和完整性。这可能导致用户被重定向到恶意网站、UI 操作或从浏览器中检索敏感信息（例如会话 Cookie）。根据 CVSS，此漏洞的严重程度评分为 5.4，不被认为是关键漏洞 (KEV)。

利用背景

该漏洞是通过向未正确验证的开发者门户输入字段注入 JavaScript 代码来利用的。攻击者可以创建包含 JavaScript 代码的恶意请求，如果该请求在没有适当验证的情况下处理，则代码将在用户的浏览器中执行。利用成功的关键在于攻击者能够找到易受攻击的入口点，并且缺乏对脚本注入的保护。用户输入验证不足是此漏洞的主要原因。

哪些人处于风险中翻译中…

Organizations utilizing WSO2 API Manager for API management, particularly those relying on the developer portal for API documentation and testing, are at risk. Environments with legacy configurations or those that have not implemented robust input validation practices are especially vulnerable. Shared hosting environments where multiple API Manager instances share resources could also experience broader impact.

检测步骤翻译中…

• generic web: Use curl or wget to test developer portal endpoints for XSS vulnerabilities. Examine response headers for unexpected content. • generic web: Search access and error logs for suspicious JavaScript code or unusual redirects originating from user input fields. • javascript: Inspect the WSO2 API Manager developer portal's JavaScript code for any instances where user input is directly rendered without proper sanitization. • javascript: Use browser developer tools to monitor network requests and identify any unexpected redirects or script injections.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件wso2-api-manager

供应商WSO2

影响范围修复版本

0 – 3.1.93.2.0

3.2.0 – 3.2.0.4073.2.0.408

3.2.1 – 3.2.1.313.2.1.32

4.0.0 – 4.0.0.2924.0.0.293

4.1.0 – 4.1.0.1864.1.0.187

弱点分类 (CWE)

CWE-79

时间线

已保留2024-05-14
发布日期2026-04-16
EPSS 更新日期2026-04-23

缓解措施和替代方案

为了减轻与 CVE-2024-4867 相关的风险，我们强烈建议将 WSO2 API Manager 升级到 4.1.0.187 或更高版本。此版本包含必要的修复程序，以解决跨站点脚本 (XSS) 漏洞。在执行升级时，可以实施额外的安全措施，例如在开发者门户中对所有用户输入进行严格验证以及对输出进行适当编码，以防止恶意脚本执行。此外，建议监控应用程序日志以查找可疑活动。

修复方法翻译中…

Actualice WSO2 API Manager a la versión 3.2.0.408 o superior, 3.2.1.32 o superior, 4.0.0.293 o superior, o 4.1.0.187 o superior para mitigar la vulnerabilidad de Cross-Site Scripting.  Asegúrese de revisar las notas de la versión para cualquier cambio de configuración requerido después de la actualización.  Implemente validaciones de entrada robustas y codificación de salida adecuada en el portal del desarrollador.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2024-4867 是什么 — WSO2 API Manager 中的 Cross-Site Scripting (XSS)？

XSS (跨站点脚本) 是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的网页中。

WSO2 API Manager 中的 CVE-2024-4867 是否会影响我？

4.1.0.187 版本包含必要的修复程序，以解决开发者门户中的 XSS 漏洞。

如何修复 WSO2 API Manager 中的 CVE-2024-4867？

作为临时措施，实施严格的输入验证和输出编码。监控应用程序日志。

CVE-2024-4867 是否正在被积极利用？

如果您使用的是 4.1.0.187 之前的版本，则很可能容易受到攻击。进行渗透测试以确认。

在哪里可以找到 WSO2 API Manager 关于 CVE-2024-4867 的官方安全通告？

请参阅 WSO2 API Manager 的官方文档以及行业安全信息来源。