Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el acceso de red en un nodo Publisher en WSO2 API Manager (CVE-2020-13226)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
20/05/2020
Última modificación:
21/05/2020

Descripción

El WSO2 API Manager versión 3.0.0, no restringe apropiadamente el acceso de red fuera del límite de un nodo Publisher, abriendo la posibilidad de un ataque de tipo SSRF a toda la intranet de este nodo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wso2:api_manager:3.0.0:*:*:*:*:*:*:*