Vulnerabilidad en WSO2 (CVE-2024-7096)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/05/2025

Última modificación:

30/05/2025

Descripción

Existe una vulnerabilidad de escalada de privilegios en varios productos [Nombre del proveedor] debido a una falla en la lógica de negocio de los servicios de administración de SOAP. Un agente malicioso puede crear un nuevo usuario con permisos elevados solo cuando se cumplen todas las siguientes condiciones: * El atacante puede acceder a los servicios de administración de SOAP. * La implementación incluye un atributo de uso interno que no forma parte de la configuración predeterminada del producto WSO2. * Existe al menos un rol personalizado con permisos no predeterminados. * El atacante conoce el rol personalizado y el atributo interno utilizado en la implementación. Aprovechar esta vulnerabilidad permite a los agentes maliciosos asignar mayores privilegios a usuarios registrados automáticamente, evadiendo así los mecanismos de control de acceso previstos.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.20

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3573/