Vulnerabilidad en WSO2 (CVE-2024-7073)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
02/06/2025
Última modificación:
06/10/2025
Descripción
Existe una vulnerabilidad de server-side request forgery (SSRF) en varios productos WSO2 debido a una validación de entrada incorrecta en los servicios de administración SOAP. Esta falla permite a atacantes no autenticados manipular las solicitudes del lado del servidor, lo que permite el acceso a recursos internos y externos disponibles a través de la red o el sistema de archivos. La explotación de esta vulnerabilidad podría provocar el acceso no autorizado a datos y sistemas confidenciales, incluidos recursos dentro de redes privadas, siempre que sean accesibles para el producto afectado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wso2:identity_server:5.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:5.11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:6.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:6.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:identity_server_as_key_manager:5.3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página