Vulnerabilidad en WSO2 (CVE-2024-7097)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/05/2025

Última modificación:

30/05/2025

Descripción

Existe una vulnerabilidad de autorización incorrecta en varios productos WSO2 debido a una falla en el servicio de administración SOAP, que permite la creación de cuentas de usuario independientemente de la configuración de autorregistro. Esta vulnerabilidad permite a actores maliciosos crear nuevas cuentas de usuario sin la debida autorización. La explotación de esta falla podría permitir a un atacante crear múltiples cuentas de usuario con privilegios bajos, obteniendo así acceso no autorizado al sistema. Además, la explotación continua podría provocar el agotamiento de los recursos del sistema mediante la creación masiva de usuarios.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3574/