Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WSO2 (CVE-2024-7074)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
02/06/2025
Última modificación:
02/06/2025

Descripción

Existe una vulnerabilidad de carga de archivos arbitrarios en varios productos WSO2 debido a la validación incorrecta de la entrada del usuario en los servicios de administración SOAP. Un agente malicioso con privilegios administrativos puede cargar un archivo arbitrario en una ubicación del servidor controlada por el usuario. Al aprovechar esta vulnerabilidad, un atacante podría cargar una carga útil especialmente manipulada, lo que podría provocar una ejecución remota de código (RCE) en el servidor. Su explotación requiere credenciales de administrador válidas, lo que limita su impacto a usuarios autorizados, pero potencialmente maliciosos.