Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Wso2›Приложениеnvd

Identity Server As Key Manager

Уязвимости

42

Эксплуатируемые

1

Макс. CVSS

9.8

Макс. EPSS

0.99999

Распределение по критичности

Критический

6

Высокий

9

Средний

26

Низкий

1

Затронутые диапазоны версий

5.10.0–5.10.0.2965.10.0–5.10.2675.3.0–5.10.05.6.0–5.6.0.17≤ 5.10.0≤ 5.9.0

Также сопоставлено как (исходные строки): api_manager,traffic_manager,open_banking_km,api_microgateway,api_manager_analytics,identity_server,identity_server_as_key_manager,open_banking_am,open_banking_iam,api_control_plane,universal_gateway,enterprise_integrator

Топ уязвимостей

CVE-2025-9312Отсутствующая уязвимость при обеспечении соблюдения аутентификации существует во взаимной реализации TLS (mTLS), используемой API System REST и SOAP-сервисами в нескольких продуктах WSO2. Из-за неправильной проверки подлинности на основе сертификата клиента в определенных конфигурациях по умолчанию затронутые компоненты могут разрешать неаутентифицированные запросы даже при включении mTLS. Это условие возникает при использовании параметров mTLS по умолчанию для API System REST или когда аутентификатор mTLS включен для служб SOAP, в результате чего эти интерфейсы принимают запросы без обеспечения дополнительной аутентификации. Успешная эксплуатация позволяет злоумышленнику с сетевым доступом к затронутым конечным точкам получать административные привилегии и выполнять несанкционированные операции. Уязвимость может быть использована только тогда, когда затронутые потоки mTLS включены и доступны в данном развертывании. Другие механизмы аутентификации на основе сертификатов, такие как аутентификация клиента Mutual TLS OAuth и потоки входа в систему X.509, не затронуты, и API-интерфейсы, обслуживаемые через API-штамм WSO2 API Manager, остаются незатронутыми.

CVE-2025-10611Из-за недостаточной реализации контроля доступа в нескольких продуктах WSO2 проверки аутентификации и авторизации для некоторых API REST могут быть обойдены, что позволяет их вызывать без надлежащей проверки. Успешная эксплуатация этой уязвимости может привести к тому, что злоумышленник получит административный доступ и выполнит неаутентифицированные и несанкционированные административные операции.

CVE-2024-6914В нескольких продуктах WSO2 существует уязвимость неправильной авторизации из-за логической ошибки в служебной службе SOAP, связанной с восстановлением учетной записи. Злоумышленник может воспользоваться этой уязвимостью, чтобы сбросить пароль любой учетной записи пользователя, что приведет к полному захвату учетной записи, включая учетные записи с повышенными привилегиями [1]. Дополнительная информация из источника 1: Эта уязвимость может быть эксплуатирована только через служебные службы SOAP, доступные через контекст /services в затронутых продуктах. Если вы следовали Руководству по безопасности для производственной среды и ограничили доступ к этим конечным точкам из ненадежных сетей, воздействие снижается [2]. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3561/ - [2] https://security.docs.wso2.com/en/latest/security-guidelines/security-guidelines-for-production-deployment/

CVE-2022-29464Определенные продукты WSO2 допускают неограниченную загрузку файлов с последующим удаленным выполнением кода. Злоумышленник должен использовать конечную точку /fileupload с последовательностью обхода каталогов Content-Disposition для достижения каталога под веб-корнем, такого как каталог ../../../../repository/deployment/server/webapps. Это затрагивает WSO2 API Manager с 2.2.0 до 4.0.0, WSO2 Identity Server с 5.2.0 до 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 и 5.6.0, WSO2 Identity Server as Key Manager с 5.3.0 до 5.11.0, WSO2 Enterprise Integrator с 6.2.0 до 6.6.0, WSO2 Open Banking AM с 1.4.0 до 2.0.0 и WSO2 Open Banking KM с 1.4.0 до 2.0.0.

CVE-2024-2374XML-парсеры в нескольких продуктах WSO2 принимают данные XML, поставляемые пользователем, без надлежащей настройки для предотвращения разрешения внешних объектов. Это упущение позволяет злоумышленникам создавать полезные нагрузки XML, которые используют поведение парсера, что приводит к включению внешних ресурсов. Используя эту уязвимость, злоумышленник может читать конфиденциальные файлы из файловой системы и получать доступ к ограниченным HTTP-ресурсам, доступным продуктом. Кроме того, уязвимость может быть использована для выполнения атак типа «отказ в обслуживании», исчерпав ресурсы сервера за счет рекурсивного расширения объекта или получения больших внешних ресурсов.

CVE-2021-42646Уязвимость XML External Entity (XXE) в функции создания поставщика служб на основе файлов консоли управления в WSO2 API Manager 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; и WSO2 IS в качестве Key Manager 5.7.0, 5.9.0 и 5.10.0; и WSO2 Identity Server 5.7.0, 5.8.0, 5.9.0, 5.10.0 и 5.11.0. Позволяет злоумышленникам получить доступ для чтения к конфиденциальной информации или вызвать отказ в обслуживании с помощью специально созданных GET-запросов.

CVE-2025-6670Уязвимость Cross-Site Request Forgery (CSRF) существует в нескольких продуктах WSO2 из-за использования метода HTTP GET для операций по изменению состояния в админ-сервисах, в частности, в процессоре событий консоли Carbon. Хотя атрибут SameSite = Lax cookie используется в качестве смягчения, он неэффективен в этом контексте, поскольку позволяет отправлять файлы cookie с помощью навигации верхних уровней с использованием запросов GET. Злоумышленник может использовать эту уязвимость, обманывая аутентифицированного пользователя, чтобы он посетил созданную ссылку, что приводит к тому, что браузер выдает непреднамеренные запросы на изменение состояния. Успешная эксплуатация может привести к несанкционированным операциям, таким как модификация данных, изменения в учетных записях или другие административные действия. Согласно WSO2 Secure Production Guidelines, воздействие услуг углеродных консолей на ненадежных сетях не рекомендуется, что может уменьшить влияние на должным образом защищенные развертывания.

CVE-2020-24705В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager до версии 3.1.0, API Manager Analytics 2.5.0, IS as Key Manager до версии 5.10.0, Identity Server до версии 5.10.0, Identity Server Analytics до версии 5.6.0 и IoT Server 3.1.0.

CVE-2020-24703В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.

CVE-2023-6837Несколько продуктов WSO2 были идентифицированы как уязвимые для выдачи себя за другого пользователя с помощью JIT-провижининга. Чтобы эта уязвимость оказала какое-либо влияние на вашу конфигурацию, должны быть выполнены следующие условия: * IDP, настроенный для федеративной аутентификации и JIT-провижининга, с включенной опцией "Запрос имени пользователя, пароля и согласия". * Поставщик услуг, использующий вышеуказанный IDP для федеративной аутентификации и имеющий флаг "Утверждать идентификацию с использованием сопоставленного локального идентификатора субъекта". Злоумышленник должен иметь: * Свежий действительный аккаунт пользователя в федеративном IDP, который ранее не использовался. * Знание имени пользователя действительного пользователя в локальном IDP. Когда все предварительные условия выполнены, злоумышленник может использовать поток JIT-провижининга для выдачи себя за другого пользователя. Согласно источнику [1], уязвимость связана с потенциальной возможностью выдачи себя за другого пользователя при федеративной аутентификации с JIT-провижинингом при определенных настройках. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2022/WSO2-2021-1573/

CVE-2023-6836Выявлено, что несколько продуктов WSO2 уязвимы для атаки XML External Entity (XXE), которая злоупотребляет широко доступной, но редко используемой функцией XML-парсеров для доступа к конфиденциальной информации.

CVE-2025-3125Уязвимость загрузки произвольного файла существует в нескольких продуктах WSO2 из-за неправильной валидации входа в конечную точку службы CarbonAppUploader. Аутентифицированный злоумышленник с соответствующими привилегиями может загрузить вредоносный файл в контролируемое пользователем местоположение на сервере, что может привести к удаленному исполнению кода (RCE). Эта функциональность по умолчанию ограничена пользователям админ-пользователей; поэтому для успешной эксплуатации требуются действительные учетные данные с административными разрешениями.

CVE-2025-1862Множественные продукты WSO2 уязвимы к загрузке произвольных файлов из-за неправильной проверки имен файлов, предоставленных пользователем, в конечной точке SOAP-сервиса BPEL uploader. Злоумышленник с административными привилегиями может загрузить произвольные файлы на сервер, потенциально выполнив удаленное выполнение кода (RCE) [1]. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3992/

CVE-2025-10907Уязвимость загрузки произвольного файла существует в нескольких продуктах WSO2 из-за недостаточной проверки загруженного контента и назначения в службах администрирования SOAP. Злоумышленник с административными привилегиями может загрузить специально созданный файл в контролируемое пользователем местоположение в пределах развертывания. Успешное использование может привести к удаленному исполнению кода (RCE) на сервере в зависимости от того, как обрабатывается загруженный файл. По умолчанию эта уязвимость может быть использована только пользователями с административным доступом к затронутым SOAP-сервисам.

CVE-2020-12719XXE во время обновления EventPublisher может произойти в Management Console в WSO2 API Manager 3.0.0 и более ранних версиях, API Manager Analytics 2.5.0 и более ранних версиях, API Microgateway 2.2.0, Enterprise Integrator 6.4.0 и более ранних версиях, IS as Key Manager 5.9.0 и более ранних версиях, Identity Server 5.9.0 и более ранних версиях и Identity Server Analytics 5.6.0 и более ранних версиях.

CVE-2025-0663Уязвимость межтенантной аутентификации существует в нескольких продуктах WSO2 из-за неправильного криптографического дизайна в Adaptive Authentication. Один криптографический ключ используется для всех арендаторов для подписи cookie аутентификации, что позволяет привилегированному пользователю в одном арендаторе подделать cookie аутентификации для пользователей в других арендаторах. Поскольку функция Auto-Login включена по умолчанию, эта ошибка может позволить злоумышленнику получить неавторизованный доступ и потенциально захватить учетные записи в других арендаторах. Успешная эксплуатация требует доступа к функциональности Adaptive Authentication, которая обычно ограничена для пользователей с высокими привилегиями. Уязвимость эксплуатируется только при включенной функции Auto-Login, что снижает ее практическое влияние в развертываниях, где эта функция отключена. Для устранения уязвимости рекомендуется обновить версию продукта до исправленной [1]. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3864/

CVE-2020-13883В WSO2 API Manager 3.0.0 и более ранних версиях, WSO2 API Microgateway 2.2.0 и WSO2 IS в качестве Key Manager 5.9.0 и более ранних версиях, Management Console допускает XXE во время добавления или обновления жизненного цикла.

CVE-2025-9804Неправильное уязвимое требование контроля доступа существует в нескольких продуктах WSO2 из-за недостаточного контроля разрешений в некоторых внутренних службах SOAP Admin Services и System REST API. Низкопривилегированный пользователь может использовать этот недостаток для выполнения несанкционированных операций, включая доступ к информации на уровне сервера. Эта уязвимость затрагивает только внутренние административные интерфейсы. API-интерфейсы, представленные через шлейпу API-дирижера WSO2 API, остаются незатронутыми.

CVE-2024-7073В нескольких продуктах WSO2 существует уязвимость подделки серверных запросов (SSRF) из-за неправильной проверки входных данных в административных сервисах SOAP. Эта уязвимость позволяет неаутентифицированным злоумышленникам манипулировать запросами на стороне сервера, обеспечивая доступ к внутренним и внешним ресурсам, доступным через сеть или файловую систему [1]. Эксплуатация этой уязвимости может привести к несанкционированному доступу к конфиденциальным данным и системам, включая ресурсы в частных сетях, если они доступны для уязвимого продукта. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3562

CVE-2025-10853Отраженная уязвимость межсайтового скриптинга (XSS) существует в консоли управления несколькими продуктами WSO2 из-за неправильного кодирования вывода. Взмешав определенные параметры, злоумышленник может ввести произвольный JavaScript в ответ, что приводит к отражению XSS. Успешная эксплуатация может привести к манипулированию пользовательским интерфейсом, перенаправлению на вредоносные веб-сайты или краже данных из браузера. Тем не менее, чувствительные файлы cookie, связанные с сеансом, защищены флагом httpOnly, что снижает риск угона сеанса.

CVE-2024-1440В нескольких продуктах WSO2 существует уязвимость открытой переадресации из-за неправильной проверки URL-адреса с несколькими вариантами в конечной точке аутентификации при включенной многофакторной аутентификации. Злоумышленник может создать легитимную ссылку, которая перенаправляет пользователей на контролируемый злоумышленником сайт. Использование этой уязвимости может позволить злоумышленнику обмануть пользователей и перенаправить их на вредоносную страницу, где может быть осуществлена фишинговая атака для сбора конфиденциальной информации или выполнения других вредоносных действий [1]. Источники: - [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3171/

CVE-2023-6838Уязвимость Reflected XSS может быть использована путем подделки параметра запроса в Authentication Endpoint. Это можно выполнить как в аутентифицированных, так и в неаутентифицированных запросах.

CVE-2022-29548Проблема отраженного XSS существует в консоли управления нескольких продуктов WSO2. Это затрагивает API Manager 2.2.0, 2.5.0, 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; API Manager Analytics 2.2.0, 2.5.0 и 2.6.0; API Microgateway 2.2.0; Data Analytics Server 3.2.0; Enterprise Integrator 6.2.0, 6.3.0, 6.4.0, 6.5.0 и 6.6.0; IS as Key Manager 5.5.0, 5.6.0, 5.7.0, 5.9.0 и 5.10.0; Identity Server 5.5.0, 5.6.0, 5.7.0, 5.9.0, 5.10.0 и 5.11.0; Identity Server Analytics 5.5.0 и 5.6.0; и WSO2 Micro Integrator 1.0.0.

CVE-2021-36760В accountrecoveryendpoint/recoverpassword.do в WSO2 Identity Server 5.7.0 можно выполнить DOM-Based XSS-атаку, затрагивающую параметр обратного вызова, изменяющий URL-адрес, предшествующий параметру обратного вызова. После завершения процедуры сброса имени пользователя или пароля будет выполнен код JavaScript. (recoverpassword.do также имеет проблему открытого перенаправления по аналогичной причине).

CVE-2020-24706В некоторых продуктах WSO2 обнаружена проблема. Инструмент Try It допускает отраженный XSS. Это затрагивает API Manager до версии 3.1.0, API Manager Analytics 2.5.0, IS as Key Manager до версии 5.10.0, Identity Server до версии 5.10.0, Identity Server Analytics до версии 5.6.0 и IoT Server 3.1.0.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →