Podatność w produktach WSO2 API Manager oraz WSO2 API Control Plane umożliwia uwierzytelnionemu administratorowi przesłanie dowolnego pliku do lokalizacji kontrolowanej przez użytkownika za pośrednictwem systemowego REST API. Skuteczne wykorzystanie podatności może prowadzić do zdalnego wykonania kodu (RCE).
▸ Pokaż oryginał (EN)
A malicious actor with administrative privileges can upload an arbitrary file to a user-controlled location within the deployment via a system REST API. Successful uploads may lead to remote code execution. By leveraging the vulnerability, a malicious actor may perform Remote Code Execution by uploading a specially crafted payload.
Atakujący posiadający uprawnienia administratora może skorzystać z systemowego REST API, aby przesłać specjalnie spreparowany plik (payload) do wybranej lokalizacji w środowisku wdrożeniowym. Brak odpowiedniej walidacji przesyłanych plików (CWE-434 – Unrestricted Upload of File with Dangerous Type) pozwala na umieszczenie złośliwego kodu po stronie serwera. Następnie wykonanie takiego pliku przez serwer prowadzi do przejęcia kontroli nad systemem.
Atakujący może uzyskać możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co w praktyce oznacza pełne przejęcie kontroli nad systemem, potencjalny dostęp do wrażliwych danych oraz możliwość dalszego lateral movement w sieci organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegółowe instrukcje zawiera advisory WSO2-2025-4849 dostępne pod adresem https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4849/. Do czasu aktualizacji zaleca się ograniczenie dostępu do systemowego REST API wyłącznie do zaufanych, autoryzowanych podmiotów oraz wzmocnienie kontroli nad kontami administracyjnymi.
WSO2 API Control Plane oraz WSO2 API Manager – wersje wskazane w referencjach producenta (szczegóły w security advisory WSO2-2025-4849)
Podatność wymaga posiadania uprawnień administracyjnych (PR:H), co nieco ogranicza powierzchnię ataku, jednak wysoki wynik CVSS 9.1 wynika z zakresu skutków (S:C) oraz braku konieczności interakcji użytkownika i możliwości eksploatacji zdalnie przez sieć.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HWso2 Api Control Plane
APPWso24.5.04.6.0Wso2 Api Manager
APPWso24.2.04.3.04.4.04.5.04.6.0Wso2 Traffic Manager
APPWso24.5.04.6.0Wso2 Universal Gateway
APPWso24.5.04.6.0
Powiązane podatności
Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...
Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny
Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny
WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień
Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)