Vulnerabilidad en WSO2 (CVE-2024-3509)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/06/2025
Última modificación:
06/10/2025
Descripción
Existe una vulnerabilidad de cross site scripting (XSS) almacenado en la consola de administración de varios productos WSO2 debido a una validación de entrada insuficiente en el editor de texto enriquecido de la sección de registro. Para explotar esta vulnerabilidad, un agente malicioso debe tener una cuenta de usuario válida con acceso administrativo a la consola de administración. De tener éxito, el agente podría inyectar payloads persistentes de JavaScript, lo que permite el robo de datos de usuario o la ejecución de acciones no autorizadas en nombre de otros usuarios. Si bien este problema permite la ejecución persistente de scripts del lado del cliente, las cookies de sesión permanecen protegidas con el indicador httpOnly, lo que evita el secuestro de sesión.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wso2:api_manager:3.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:3.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.1.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:enterprise_integrator:6.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:6.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:6.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server_as_key_manager:5.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página