【漏洞通告】WSO2 文件上传漏洞 CVE-2022-29464

WSO2 是一个领先的开源 SOA 解决方案，包含了 SOA 相关的各种基础设施、技术框架和相关工具、流程 server、appserver 等等。

近日，深信服安全团队监测到一则 WSO2 组件存在文件上传漏洞的信息，漏洞编号：CVE-2022-29464，漏洞威胁等级：严重。

该漏洞是由于 WSO2 存在路由对输入的内容过滤不严格，攻击者可以利用该漏洞在未授权的情况下，构造恶意数据执行文件上传攻击，最终获取服务器最高权限。

WSO2 是一个领先的开源 SOA 解决方案，该漏洞影响多个 WSO2 产品，且危害较大需要持续关注。

目前受影响的 WSO2 版本：

2.2.0 ≤ WSO2 API Manager ≤ 4.0.0

5.2.0 ≤ WSO2 Identity Server ≤ 5.11.0

WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0

5.3.0 ≤ WSO2 Identity Server as Key Manager ≤ 5.10.0

6.2.0 ≤ WSO2 Enterprise Integrator ≤ 6.6.0

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://wso2.com/

针对不同的产品官方提供了不同的临时修复方案：

详细信息可以参考：

https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738

临时解决方案1：

删除 /repository/conf/carbon.xml 中 FileUploadConfig 标记内定义的所有映射

适用产品：

WSO2 API Manager 2.6.0, 2.5.0, 2.2.0, 及更早的版本

WSO2 Identity Server 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0, 及更早的版本

WSO2 Identity Server as Key Manager 5.7.0, 5.6.0, 5.5.0, 5.3.0, 及更早的版本

WSO2 IS Analytics 5.6.0, 5.5.0, 5.4.1, 5.4.0, 及更早的版本

临时解决方案2：

将以下配置添加到 /repository/conf/deployment.toml

部署 .toml

[[resource.access_control]]context="(.*)/fileupload/resource(.*)"secure=falsehttp_method = "all"

[[resource.access_control]]context="(.*)/fileupload/(.*)"secure=truehttp_method = "all"permissions = ["/permission/protected/"]

适用产品：

WSO2 API 管理器 4.0.0、3.2.0、3.1.0、3.0.0

临时解决方案3：

将以下配置添加到 /repository/conf/deployment.toml

部署 .toml

[[resource.access_control]]context="(.*)/fileupload/service(.*)"secure=falsehttp_method = "all"

[[resource.access_control]]context="(.*)/fileupload/entitlement-policy(.*)"secure=falsehttp_method = "all"

[[resource.access_control]]context="(.*)/fileupload/resource(.*)"secure=falsehttp_method = "all"

[[resource.access_control]]context="(.*)/fileupload/(.*)"secure=truehttp_method = "all"permissions = ["/permission/protected/"]

适用产品：

WSO2 Identity Server 5.11.0, 5.10.0, 5.9.0

WSO2 Identity Server as Key Manager 5.10.0, 5.9.0

临时解决方案4：

对于 EI 配置文件，从部分的 /conf/carbon.xml 文件中删除以下映射。

对于业务流程/代理和分析配置文件，分别在以下位置对 carbon.xml 文件应用相同的更改。

/wso2/broker/conf/carbon.xml

/wso2/business-process/conf/carbon.xml

/wso2/analytics/conf/carbon.xml

部署.toml

<Mapping>    <Actions>        <Action>keystore</Action>        <Action>certificate</Action>        <Action>*</Action>    </Actions>    <Class>org.wso2.carbon.ui.transports.fileupload.AnyFileUploadExecutor</Class></Mapping> <Mapping>    <Actions>        <Action>jarZip</Action>    </Actions>    <Class>org.wso2.carbon.ui.transports.fileupload.JarZipUploadExecutor</Class></Mapping> <Mapping>    <Actions>        <Action>tools</Action>    </Actions>    <Class>org.wso2.carbon.ui.transports.fileupload.ToolsFileUploadExecutor</Class></Mapping> <Mapping>    <Actions>        <Action>toolsAny</Action>    </Actions>    <Class>org.wso2.carbon.ui.transports.fileupload.ToolsAnyFileUploadExecutor</Class></Mapping>

适用产品：

WSO2 Enterprise Integrator 6.6.0、6.5.0、6.4.0、6.3.0、6.2.0 及更早的版本

临时解决方案5：

删除 /repository/conf/carbon.xml 中 FileUploadConfig 标记内定义的所有映射

适用产品：

基于 WSO2 Carbon Kernel 4 版本的其他不受支持的产品/版本

1.主动检测
支持对 WSO2 文件上传漏洞(CVE-2022-29464)的检测，可批量快速检出业务场景中该事件的受影响资产情况，相关产品及服务如下：
【深信服安全云眼CloudEye】预计2022年4月28日发布解决方案。
【深信服云镜YJ】预计2022年4月28日发布解决方案。
【深信服漏洞评估工具TSS】预计2022年4月28日发布解决方案。

2.安全监测
 支持对 WSO2 文件上传漏洞(CVE-2022-29464)的监测，可依据流量收集实时监控业务场景中的受影响资产情况，快速检查受影响范围，相关产品及服务如下：
【深信服安全感知管理平台SIP】预计2022年4月28日发布解决方案。
【深信服安全托管服务MSS】预计2022年4月28日发布解决方案。

3.安全防护
 支持对 WSO2 文件上传漏洞(CVE-2022-29464)的防御，可阻断攻击者针对该事件的入侵行为，相关产品及服务如下：
【深信服下一代防火墙AF】预计2022年4月28日发布解决方案。
【深信服Web应用防火墙WAF】预计2022年4月28日发布解决方案。

【深信服安全托管服务MSS】预计2022年4月28日发布解决方案。

https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。