Уязвимость XML External Entity (XXE) в функции создания поставщика служб на основе файлов консоли управления в WSO2 API Manager 2.6.0, 3.0.…
Уязвимость XML External Entity (XXE) в функции создания поставщика служб на основе файлов консоли управления в WSO2 API Manager 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; и WSO2 IS в качестве Key Manager 5.7.0, 5.9.0 и 5.10.0; и WSO2 Identity Server 5.7.0, 5.8.0, 5.9.0, 5.10.0 и 5.11.0. Позволяет злоумышленникам получить доступ для чтения к конфиденциальной информации или вызвать отказ в обслуживании с помощью специально созданных GET-запросов.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| api_manager | * | Отслеживается |
| identity_server | * | Отслеживается |
| identity_server_as_key_manager | * | Отслеживается |