LOWCVE-2024-8010CVSS 3.5

WSO2 API Manager 中通过发布者进行的 XML 外部实体注入允许读取任意文件

平台

java

组件

wso2-api-manager

修复版本

3.2.0.397

3.2.1.27

4.0.0.310

4.0.0.319

4.1.0.171

4.2.0.127

4.3.0.39

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2024-8010 describes an Arbitrary File Access vulnerability affecting WSO2 API Manager versions 0.0.0 through 4.3.0.39. This vulnerability allows attackers to read sensitive files from the system or access limited HTTP resources by crafting malicious XML payloads. The vulnerability stems from the component's acceptance of XML input without disabling external entity resolution. A fix is available in version 4.3.0.39.

影响与攻击场景

WSO2 API Manager 中的 CVE-2024-8010 允许恶意行为者从产品的文件系统中读取机密文件或访问受限的 HTTP 资源。这通过通过发布器提交精心设计的 XML 负载来实现，利用了外部实体解析未禁用的情况。该漏洞源于在没有适当验证的情况下接受 XML 输入，从而允许操纵外部实体引用。影响是显著的，可能会危及存储在服务器上的敏感数据。

利用背景

攻击者可以通过向 WSO2 API Manager 的 API 发布器发送恶意 XML 负载来利用此漏洞。此 XML 包含指向服务器文件系统上的机密文件或可访问的 HTTP 资源的外部实体引用。在处理此 XML 时，系统会尝试解析这些外部实体，从而可能导致未经授权的文件读取或资源访问。成功的利用需要攻击者能够将 XML 提交到 API 发布器，如果未实施适当的访问控制，则这可能是可能的。

哪些人处于风险中翻译中…

Organizations deploying WSO2 API Manager versions 0.0.0 through 4.3.0.39 are at risk. This includes those using the API Manager for managing and securing APIs, particularly those handling sensitive data or integrating with critical backend systems. Shared hosting environments utilizing WSO2 API Manager are also at increased risk due to potential cross-tenant vulnerabilities.

检测步骤翻译中…

• java / server:

find /opt/wso2/apim/ -name 'xml-parser.xml' -print0 | xargs -0 grep -i 'externalEntityResolver'

• generic web:

curl -I 'http://<api-manager-host>/publisher/xml-endpoint' # Check for XML response with external entity references

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露中

报告1 份威胁报告

EPSS

0.01% (0% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件wso2-api-manager

供应商WSO2

影响范围修复版本

0 – 3.1.993.2.0.397

3.2.0 – 3.2.0.3963.2.0.397

3.2.1 – 3.2.1.263.2.1.27

4.0.0 – 4.0.0.3094.0.0.310

4.0.0 – 4.0.0.3184.0.0.319

4.1.0 – 4.1.0.1704.1.0.171

4.2.0 – 4.2.0.1264.2.0.127

4.3.0 – 4.3.0.384.3.0.39

弱点分类 (CWE)

CWE-611

时间线

已保留2024-08-20
发布日期2026-04-16
EPSS 更新日期2026-04-23

缓解措施和替代方案

建议的解决方案是将 WSO2 API Manager 升级到 4.3.0.39 或更高版本。此版本包含必要的修复程序以减轻漏洞。在升级过程中，请考虑实施额外的安全措施，例如限制对 API 发布器的访问以及严格验证所有 XML 输入。定期应用安全补丁是维护平台安全性的基本实践。此外，请审查并加强 API 安全策略，以防止未来类似的漏洞。

修复方法翻译中…

Actualice WSO2 API Manager a la versión 3.2.0.397 o superior, 3.2.1.27 o superior, 4.0.0.310 o superior, 4.0.0.319 o superior, 4.1.0.171 o superior, 4.2.0.127 o superior, o 4.3.0.39 o superior para mitigar la vulnerabilidad de inyección de entidades externas XML.  Esta actualización deshabilita la resolución de entidades externas en el componente Publisher, previniendo la lectura de archivos arbitrarios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2024-8010 是什么 — WSO2 API Manager 中的 Arbitrary File Access？

XML 中的外部实体是指包含在 XML 文档中的外部资源（文件或 URL）的引用。外部实体解析允许 XML 从其他来源包含内容。

WSO2 API Manager 中的 CVE-2024-8010 是否会影响我？

如果外部实体解析没有得到适当的控制，则它可能很危险，因为它允许攻击者在 XML 文档中包含任意内容，从而可能导致恶意代码执行或文件读取。

如何修复 WSO2 API Manager 中的 CVE-2024-8010？

如果无法立即升级，请实施缓解措施，例如限制对 API 发布器的访问以及严格验证所有 XML 输入。

CVE-2024-8010 是否正在被积极利用？

安全分析工具可以检测 CVE-2024-8010。有关更多信息，请参阅 WSO2 文档。

在哪里可以找到 WSO2 API Manager 关于 CVE-2024-8010 的官方安全通告？

实施安全的开发实践，例如输入验证、数据清理和定期应用安全补丁。