MEDIUM🇬🇧 English

CVE-2024-4598

CVSS 6.5v3.1pub. 2025-09-23upd. 2026-01-09

An information disclosure vulnerability exists in multiple WSO2 products due to improper implementation of the enrich mediator. Authenticated users may be able to view unintended business data from other mediation contexts because the internal state is not properly isolated or cleared between executions. This vulnerability does not impact user credentials or access tokens but may lead to leakage of sensitive business information handled during message flows.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
  • Wso2 Api Manager

    APP
    Wso2
    3.2.0 – 3.2.0.422 (bez)3.2.1 – 3.2.1.42 (bez)4.1.0 – 4.1.0.152 (bez)4.3.0 – 4.3.0.55 (bez)
  • Wso2 Micro Integrator

    APP
    Wso2
    1.2.0 – 1.2.0.157 (bez)4.1.0 – 4.1.0.95 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień