Api Microgateway
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.40481
Распределение по критичности
Критический
2
Высокий
3
Средний
6
Низкий
0
Также сопоставлено как (исходные строки): data_analytics_server,identity_server,api_manager,api_microgateway,identity_server_analytics,api_manager_analytics,enterprise_integrator,identity_server_as_key_manager,iot_server,micro_integrator
Топ уязвимостей
CVE-2020-24590Консоль управления в WSO2 API Manager до версии 3.1.0 и API Microgateway 2.2.0 допускает атаки расширения XML Entity.
CVE-2020-24589Консоль управления в WSO2 API Manager до версии 3.1.0 и API Microgateway 2.2.0 допускает внедрение XML External Entity (XXE).
CVE-2020-24703В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.
CVE-2023-6836Выявлено, что несколько продуктов WSO2 уязвимы для атаки XML External Entity (XXE), которая злоупотребляет широко доступной, но редко используемой функцией XML-парсеров для доступа к конфиденциальной информации.
CVE-2020-12719XXE во время обновления EventPublisher может произойти в Management Console в WSO2 API Manager 3.0.0 и более ранних версиях, API Manager Analytics 2.5.0 и более ранних версиях, API Microgateway 2.2.0, Enterprise Integrator 6.4.0 и более ранних версиях, IS as Key Manager 5.9.0 и более ранних версиях, Identity Server 5.9.0 и более ранних версиях и Identity Server Analytics 5.6.0 и более ранних версиях.
CVE-2020-13883В WSO2 API Manager 3.0.0 и более ранних версиях, WSO2 API Microgateway 2.2.0 и WSO2 IS в качестве Key Manager 5.9.0 и более ранних версиях, Management Console допускает XXE во время добавления или обновления жизненного цикла.
CVE-2020-24591Консоль управления в определенных продуктах WSO2 допускает атаки XXE во время обновлений EventReceiver. Это затрагивает API Manager до версии 3.0.0, API Manager Analytics 2.2.0 и 2.5.0, API Microgateway 2.2.0, Enterprise Integrator 6.2.0 и 6.3.0 и Identity Server Analytics до версии 5.6.0.
CVE-2022-29548Проблема отраженного XSS существует в консоли управления нескольких продуктов WSO2. Это затрагивает API Manager 2.2.0, 2.5.0, 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; API Manager Analytics 2.2.0, 2.5.0 и 2.6.0; API Microgateway 2.2.0; Data Analytics Server 3.2.0; Enterprise Integrator 6.2.0, 6.3.0, 6.4.0, 6.5.0 и 6.6.0; IS as Key Manager 5.5.0, 5.6.0, 5.7.0, 5.9.0 и 5.10.0; Identity Server 5.5.0, 5.6.0, 5.7.0, 5.9.0, 5.10.0 и 5.11.0; Identity Server Analytics 5.5.0 и 5.6.0; и WSO2 Micro Integrator 1.0.0.
CVE-2020-24704В некоторых продуктах WSO2 обнаружена проблема. Инструмент Try It допускает отраженный XSS. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.
CVE-2020-17453WSO2 Management Console до версии 5.10 допускает XSS через параметр msgId carbon/admin/login.jsp.
CVE-2023-6911Несколько продуктов WSO2 были идентифицированы как уязвимые из-за неправильного кодирования вывода. Атака Stored Cross Site Scripting (XSS) может быть выполнена злоумышленником путем внедрения вредоносной полезной нагрузки в функцию Registry консоли управления.