7.8высокая
BDU:2024-00233
Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2024-01-12
Описание
Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
Затрагиваемое ПО и версии
WSO2 API Manager Analytics (2.2.0)WSO2 API Manager Analytics (2.5.0)WSO2 API Microgateway (2.2.0)WSO2 Identity Server as Key Manager (5.6.0)WSO2 Identity Server as Key Manager (5.7.0)WSO2 Identity Server as Key Manager (5.9.0)WSO2 Identity Server (5.5.0)WSO2 Identity Server (5.6.0)WSO2 Micro Integrator (1.0.0)WSO2 API Manager (до 3.0.0 включительно)WSO2 Enterprise Integrator (до 6.6.0 включительно)WSO2 Identity Server as Key Manager (5.0.0)WSO2 Identity Server (5.4.0)WSO2 Identity Server (5.4.1)
Способ устранения
Использование рекомендаций производителя:
https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2021/WSO2-2020-0716/
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи