Vulnerabilidad crítica en WSO2

Por qué necesitas API Lifecycle Management para las APIs de tu empresa

WSO2 es una empresa de renombre mundial que desarrolla aplicaciones específicas de código abierto dirigida hacia sectores como finanzas, salud, educación e Internet de las cosas. Entre sus clientes se encuentran reconocidas marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Schneider Electric, la cadena de hoteles Hilton, o agencias de servicios clave como Transport for London o el Departamento de Agua y Energía de Los Ángeles.

Entre los servicios que ofrece se encuentra WSO2 API Manager, un producto de código abierto que se utiliza para la gestión de APIs. API Manager se encarga de exponer servicios, así como monitorizar su tráfico y su uso, controlar quién esta usando cada servicio y establecer políticas de disponibilidad, entre muchas otras capacidades. WSO2 API Manager se encuentra basado en 5 componentes: API Publisher, API Store, API Gateaway, API Handlers y API Key Manager. Con ayuda de estos, es posible crear, publicar y dar gestión a aspectos relacionados a APIs. Adicional se puede aplicar políticas de seguridad como autenticación o autorización para el control de accesos y a manera de refuerzo en la seguridad.

Este servicio se ve afectado por la vulnerabilidad identificada como CVE-2022-29464, que se trata de una carga de archivos arbitrarios en una ubicación del servidor controlada por el usuario, al aprovechar esta carga es posible obtener la ejecución remota de código en el servidor, por lo que un atacante podría valerse de esta vulnerabilidad y cargar un archivo útil especialmente diseñado para fines maliciosos.

Productos afectados

  • WSO2 API Manager 2.2.0, hasta 4.0.0
  • WSO2 Identity Server 5.2.0, hasta 5.11.0
  • WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
  • WSO2 Identity Server como Key Manager 5.3 .0, hasta 5.11.0
  • WSO2 Enterprise Integrator 6.2.0, hasta 6.6.0
  • WSO2 Open Banking AM 1.4.0, hasta 2.0.0
  • WSO2 Open Banking KM 1.4.0, hasta 2.0.0

Soluciones

La empresa proporcionó mitigaciones temporales a los clientes y se entregaron correcciones para todas las versiones de productos admitidos que se mencionan en WSO2 Support Matrix para los estados de “disponible” y “descontinuado”. A su vez se presentan niveles de actualización a los que se debe cambiar el producto para aplicar la solución a la vulnerabilidad.

Nombre del ProductoVersión del productoNivel de actualizaciónMarca de tiempo WUM
Administrador de API de WSO22.2.0431642181410159
Administrador de API de WSO22.5.0441642690416146
Administrador de API de WSO22.6.0721642690636270
Administrador de API de WSO23.0.0701642180160123
Administrador de API de WSO23.1.01071643038989258
Administrador de API de WSO23.2.01221643038989258
Administrador de API de WSO24.0.064N / A
Análisis del administrador de API de WSO22.2.0251642181410159
Análisis del administrador de API de WSO22.5.0231642690416146
Servidor de identidad WSO25.2.0221642180025435
Servidor de identidad WSO25.4.1221642180082946
Servidor de identidad WSO25.5.0341642181410159
Servidor de identidad WSO25.6.0271642690416146
Servidor de identidad WSO25.7.0481642690636270
Servidor de identidad WSO25.10.01121643038989258
Servidor de identidad WSO25.8.0391642181241778
Servidor de identidad WSO25.9.0551642601723766
Servidor de identidad WSO25.11.0106N / A
WSO2 Identity Server como administrador de claves5.5.0341642181410159
WSO2 Identity Server como administrador de claves5.6.0231642690416146
WSO2 Identity Server como administrador de claves5.7.0551642690636270
WSO2 Identity Server como administrador de claves5.9.0641642601723766
WSO2 Identity Server como administrador de claves5.10.01151643038989258
Análisis del servidor de identidad WSO25.4.1161642180082946

Para más información: