Vulnerabilidad en WSO2 (CVE-2024-7074)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

02/06/2025

Última modificación:

02/06/2025

Descripción

Existe una vulnerabilidad de carga de archivos arbitrarios en varios productos WSO2 debido a la validación incorrecta de la entrada del usuario en los servicios de administración SOAP. Un agente malicioso con privilegios administrativos puede cargar un archivo arbitrario en una ubicación del servidor controlada por el usuario. Al aprovechar esta vulnerabilidad, un atacante podría cargar una carga útil especialmente manipulada, lo que podría provocar una ejecución remota de código (RCE) en el servidor. Su explotación requiere credenciales de administrador válidas, lo que limita su impacto a usuarios autorizados, pero potencialmente maliciosos.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2024-3566/