W produktach WSO2 API Manager oraz WSO2 API Control Plane istnieje krytyczna podatność polegająca na braku wymaganych mechanizmów uwierzytelniania i autoryzacji w endpoincie Dynamic Client Registration (DCR) komponentu keymanager-operations. Umożliwia to nieuwierzytelnionemu atakującemu uzyskanie tokenów dostępu z podwyższonymi uprawnieniami, łącznie z dostępem administracyjnym.
▸ Pokaż oryginał (EN)
An improper privilege management vulnerability exists in WSO2 API Manager due to missing authentication and authorization checks in the keymanager-operations Dynamic Client Registration (DCR) endpoint. A malicious user can exploit this flaw to generate access tokens with elevated privileges, potentially leading to administrative access and the ability to perform unauthorized operations.
Endpoint DCR w komponencie keymanager-operations nie wymaga uwierzytelnienia ani autoryzacji (CWE-306: Missing Authentication for Critical Function). Atakujący może bezpośrednio wysyłać żądania do tego endpointu przez sieć, bez podawania żadnych danych uwierzytelniających. W wyniku tego możliwe jest wygenerowanie tokenów dostępu z rozszerzonymi uprawnieniami, które następnie mogą być użyte do wykonywania nieautoryzowanych operacji administracyjnych w systemie.
Atakujący może uzyskać tokeny dostępu z uprawnieniami administracyjnymi i wykonywać dowolne nieautoryzowane operacje w systemie, co prowadzi do pełnego naruszenia poufności, integralności oraz dostępności platformy API Manager.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawczych zawiera poradnik bezpieczeństwa WSO2 dostępny pod adresem: https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4483/
WSO2 API Manager oraz WSO2 API Control Plane — konkretne wersje wskazane w referencjach producenta (WSO2-2025-4483)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HWso2 Api Control Plane
APPWso24.5.0Wso2 Api Manager
APPWso23.2.03.2.14.0.04.1.04.2.04.3.04.4.04.5.0
Powiązane podatności
Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...
WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora
Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny
Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny
Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)