Идентификатор: BDU:2022-02973.
Наименование уязвимости: Уязвимость консоли управления платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, позволяющая нарушителю осуществлять межсайтовые сценарные атаки.
Описание уязвимости: Уязвимость консоли управления платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
Уязвимое ПО: Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.5.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.6.0 | Прикладное ПО информационных систем WSO2 WSO2 Enterprise Integrator от 6.2.0 до 6.6.0 включительно | Прикладное ПО информационных систем WSO2 WSO2 API Manager 2.2.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 2.5.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 2.6.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 3.0.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 3.1.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 3.2.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager 4.0.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager Analytics 2.2.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager Analytics 2.5.0 | Прикладное ПО информационных систем WSO2 WSO2 API Manager Analytics 2.6.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 API Microgateway 2.2.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Data Analytics Server 3.2.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager 5.5.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager 5.6.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager 5.7.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager 5.9.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager 5.10.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.5.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.6.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.7.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.9.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.10.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server 5.11.0 | Прикладное ПО информационных систем WSO2 WSO2 Micro Integrator 1.0.0 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.04.2022.
CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению:
Использование рекомендаций:
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1603.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-29548.
Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1603
https://github.com/cxosmo/CVE-2022-29548
https://vuldb.com/?id.198285
