Api Manager Analytics
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.40481
Распределение по критичности
Критический
0
Высокий
4
Средний
7
Низкий
0
Затронутые диапазоны версий
≤ 2.5.0
Также сопоставлено как (исходные строки): identity_server,iot_server,api_manager_analytics,micro_integrator,api_control_plane,open_banking_km,identity_server_analytics,api_manager,api_microgateway,enterprise_integrator,identity_server_as_key_manager,data_analytics_server
Топ уязвимостей
CVE-2020-24705В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager до версии 3.1.0, API Manager Analytics 2.5.0, IS as Key Manager до версии 5.10.0, Identity Server до версии 5.10.0, Identity Server Analytics до версии 5.6.0 и IoT Server 3.1.0.
CVE-2020-24703В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.
CVE-2023-6836Выявлено, что несколько продуктов WSO2 уязвимы для атаки XML External Entity (XXE), которая злоупотребляет широко доступной, но редко используемой функцией XML-парсеров для доступа к конфиденциальной информации.
CVE-2020-12719XXE во время обновления EventPublisher может произойти в Management Console в WSO2 API Manager 3.0.0 и более ранних версиях, API Manager Analytics 2.5.0 и более ранних версиях, API Microgateway 2.2.0, Enterprise Integrator 6.4.0 и более ранних версиях, IS as Key Manager 5.9.0 и более ранних версиях, Identity Server 5.9.0 и более ранних версиях и Identity Server Analytics 5.6.0 и более ранних версиях.
CVE-2025-9804Неправильное уязвимое требование контроля доступа существует в нескольких продуктах WSO2 из-за недостаточного контроля разрешений в некоторых внутренних службах SOAP Admin Services и System REST API. Низкопривилегированный пользователь может использовать этот недостаток для выполнения несанкционированных операций, включая доступ к информации на уровне сервера.
Эта уязвимость затрагивает только внутренние административные интерфейсы. API-интерфейсы, представленные через шлейпу API-дирижера WSO2 API, остаются незатронутыми.
CVE-2020-24591Консоль управления в определенных продуктах WSO2 допускает атаки XXE во время обновлений EventReceiver. Это затрагивает API Manager до версии 3.0.0, API Manager Analytics 2.2.0 и 2.5.0, API Microgateway 2.2.0, Enterprise Integrator 6.2.0 и 6.3.0 и Identity Server Analytics до версии 5.6.0.
CVE-2022-29548Проблема отраженного XSS существует в консоли управления нескольких продуктов WSO2. Это затрагивает API Manager 2.2.0, 2.5.0, 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; API Manager Analytics 2.2.0, 2.5.0 и 2.6.0; API Microgateway 2.2.0; Data Analytics Server 3.2.0; Enterprise Integrator 6.2.0, 6.3.0, 6.4.0, 6.5.0 и 6.6.0; IS as Key Manager 5.5.0, 5.6.0, 5.7.0, 5.9.0 и 5.10.0; Identity Server 5.5.0, 5.6.0, 5.7.0, 5.9.0, 5.10.0 и 5.11.0; Identity Server Analytics 5.5.0 и 5.6.0; и WSO2 Micro Integrator 1.0.0.
CVE-2020-24706В некоторых продуктах WSO2 обнаружена проблема. Инструмент Try It допускает отраженный XSS. Это затрагивает API Manager до версии 3.1.0, API Manager Analytics 2.5.0, IS as Key Manager до версии 5.10.0, Identity Server до версии 5.10.0, Identity Server Analytics до версии 5.6.0 и IoT Server 3.1.0.
CVE-2020-24704В некоторых продуктах WSO2 обнаружена проблема. Инструмент Try It допускает отраженный XSS. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.
CVE-2020-17453WSO2 Management Console до версии 5.10 допускает XSS через параметр msgId carbon/admin/login.jsp.
CVE-2023-6911Несколько продуктов WSO2 были идентифицированы как уязвимые из-за неправильного кодирования вывода. Атака Stored Cross Site Scripting (XSS) может быть выполнена злоумышленником путем внедрения вредоносной полезной нагрузки в функцию Registry консоли управления.