01
漏洞描述
WSO2是一个领先的开源SOA解决方案提供者。其提供了SOA相关的各种基础设施、技术框架和相关工具,流程server,appserver等等,并且都是Apache 2.0开源协议的。对商业友好,也给学习者打开了方便之门。可以说,wso2提供了全套的SOA相关技术,开箱即用,且文档比较齐全。WSO2的应用服务器是基于WSO2Carbon平台的企业级就绪的应用程序服务器。继承的WSO2Web服务应用服务器(WSAS),WSO2的应用服务器(AS)支持除了其Web服务管理功能的Web应用程序部署和管理。
近期,WSO2官方发布 API 代码执行漏洞的消息。该漏洞是由于产品对用户输入信息的验证不当问题,攻击者可通过将任意文件上传到服务器,从而执行任意代码。
02
漏洞危害
通过发送恶意代码,对目标执行各种操作,包括执行恶意软件、数据泄露。获取企业敏感信息,继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
03
影响范围
WSO2 API Manager > 2.2.0
WSO2 Identity > 5.2.0
WSO2 Identity Server Analytics 5.4.0
WSO2 Identity Server Analytics 5.4.1
WSO2 Identity Server Analytics 5.5.0
WSO2 Identity Server Analytics 5.6.0
WSO2 Identity Server as Key Manager >5.3.0
WSO2 Enterprise Integrator > 6.2.0
04
漏洞等级
严重
05
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
链接:
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】WSO2 API 代码执行漏洞(CVE-2022-29464)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论