MEDIUM🇵🇱 Wersja polska

CVE-2024-4598

CVSS 6.5v3.1pub. 2025-09-23upd. 2026-01-09

An information disclosure vulnerability exists in multiple WSO2 products due to improper implementation of the enrich mediator. Authenticated users may be able to view unintended business data from other mediation contexts because the internal state is not properly isolated or cleared between executions. This vulnerability does not impact user credentials or access tokens but may lead to leakage of sensitive business information handled during message flows.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
  • Wso2 Api Manager

    APP
    Wso2
    3.2.0 – 3.2.0.422 (bez)3.2.1 – 3.2.1.42 (bez)4.1.0 – 4.1.0.152 (bez)4.3.0 – 4.3.0.55 (bez)
  • Wso2 Micro Integrator

    APP
    Wso2
    1.2.0 – 1.2.0.157 (bez)4.1.0 – 4.1.0.95 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
CWE
References

Related vulnerabilities

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień