Vulnerabilidad crítica en WSO2

Por qué necesitas API Lifecycle Management para las APIs de tu empresa

WSO2 es una empresa de renombre mundial que desarrolla aplicaciones específicas de código abierto dirigida hacia sectores como finanzas, salud, educación e Internet de las cosas. Entre sus clientes se encuentran reconocidas marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Schneider Electric, la cadena de hoteles Hilton, o agencias de servicios clave como Transport for London o el Departamento de Agua y Energía de Los Ángeles.

Entre los servicios que ofrece se encuentra WSO2 API Manager, un producto de código abierto que se utiliza para la gestión de APIs. API Manager se encarga de exponer servicios, así como monitorizar su tráfico y su uso, controlar quién esta usando cada servicio y establecer políticas de disponibilidad, entre muchas otras capacidades. WSO2 API Manager se encuentra basado en 5 componentes: API Publisher, API Store, API Gateaway, API Handlers y API Key Manager. Con ayuda de estos, es posible crear, publicar y dar gestión a aspectos relacionados a APIs. Adicional se puede aplicar políticas de seguridad como autenticación o autorización para el control de accesos y a manera de refuerzo en la seguridad.

Este servicio se ve afectado por la vulnerabilidad identificada como CVE-2022-29464, que se trata de una carga de archivos arbitrarios en una ubicación del servidor controlada por el usuario, al aprovechar esta carga es posible obtener la ejecución remota de código en el servidor, por lo que un atacante podría valerse de esta vulnerabilidad y cargar un archivo útil especialmente diseñado para fines maliciosos.

Productos afectados

WSO2 API Manager 2.2.0, hasta 4.0.0
WSO2 Identity Server 5.2.0, hasta 5.11.0
WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
WSO2 Identity Server como Key Manager 5.3 .0, hasta 5.11.0
WSO2 Enterprise Integrator 6.2.0, hasta 6.6.0
WSO2 Open Banking AM 1.4.0, hasta 2.0.0
WSO2 Open Banking KM 1.4.0, hasta 2.0.0

Soluciones

La empresa proporcionó mitigaciones temporales a los clientes y se entregaron correcciones para todas las versiones de productos admitidos que se mencionan en WSO2 Support Matrix para los estados de “disponible” y “descontinuado”. A su vez se presentan niveles de actualización a los que se debe cambiar el producto para aplicar la solución a la vulnerabilidad.

Nombre del Producto	Versión del producto	Nivel de actualización	Marca de tiempo WUM
Administrador de API de WSO2	2.2.0	43	1642181410159
Administrador de API de WSO2	2.5.0	44	1642690416146
Administrador de API de WSO2	2.6.0	72	1642690636270
Administrador de API de WSO2	3.0.0	70	1642180160123
Administrador de API de WSO2	3.1.0	107	1643038989258
Administrador de API de WSO2	3.2.0	122	1643038989258
Administrador de API de WSO2	4.0.0	64	N / A
Análisis del administrador de API de WSO2	2.2.0	25	1642181410159
Análisis del administrador de API de WSO2	2.5.0	23	1642690416146
Servidor de identidad WSO2	5.2.0	22	1642180025435
Servidor de identidad WSO2	5.4.1	22	1642180082946
Servidor de identidad WSO2	5.5.0	34	1642181410159
Servidor de identidad WSO2	5.6.0	27	1642690416146
Servidor de identidad WSO2	5.7.0	48	1642690636270
Servidor de identidad WSO2	5.10.0	112	1643038989258
Servidor de identidad WSO2	5.8.0	39	1642181241778
Servidor de identidad WSO2	5.9.0	55	1642601723766
Servidor de identidad WSO2	5.11.0	106	N / A
WSO2 Identity Server como administrador de claves	5.5.0	34	1642181410159
WSO2 Identity Server como administrador de claves	5.6.0	23	1642690416146
WSO2 Identity Server como administrador de claves	5.7.0	55	1642690636270
WSO2 Identity Server como administrador de claves	5.9.0	64	1642601723766
WSO2 Identity Server como administrador de claves	5.10.0	115	1643038989258
Análisis del servidor de identidad WSO2	5.4.1	16	1642180082946

Para más información: