WSO2 API 远程代码执行漏洞(CVE-2022-29464)风险通告

admin
admin
admin
139622
文章
114
评论
2022年4月28日09:45:16评论112 views字数 703阅读2分20秒阅读模式

漏洞描述:

WSO2 API Manager中存在任意文件上传和远程代码执行漏洞。该漏洞源于某些 WSO2 产品中对用户输入的验证不当,攻击者可以将任意文件上传到服务器的任意位置。通过利用任意文件上传漏洞,可以进一步在服务器上实现远程代码执行。

安全专家建议受影响的用户尽快升级到最新版本

WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。

 

漏洞编号:

CVE-2022-29464

 

漏洞等级:

严重,CVSS评分9.8(最高10分)

 

漏洞状态

漏洞细节

POC

EXP

在野利用

已公开

已公开

已公开

未知

受影响的版本

WSO2 API Manager 2.2.0 及更高版本

WSO2 Identity Server 5.2.0 及更高版本

WSO2 Identity Server Analytics 5.4.0、5.4.1、5.5.0、5.6.0WSO2

Identity Server as Key Manager 5.3.0 及更高版本

WSO2 Enterprise Integrator 6.2.0 及更高版本

 

安全版本:

官方已发布最新版本,官方下载地址:

https://github.com/wso2/product-apim/releases

 

漏洞复现验证:

WSO2 API 远程代码执行漏洞(CVE-2022-29464)风险通告


漏洞修复与缓解方案:

https://github.com/wso2/product-apim/releases


漏洞缓解方案可参考:

https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738


原文始发于微信公众号(飓风网络安全):WSO2 API 远程代码执行漏洞(CVE-2022-29464)风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月28日09:45:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WSO2 API 远程代码执行漏洞(CVE-2022-29464)风险通告https://cn-sec.com/archives/953269.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息