目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2024-1248— wso2 api manager 加密问题漏洞

CVSS 4.8 · Medium EPSS 0.19% · P9

影响版本矩阵 18

厂商产品版本范围状态
WSO2WSO2 API Manager< 3.0.0unknown
3.0.0< 3.0.0.153affected
3.1.0< 3.1.0.267affected
3.2.0< 3.2.0.351affected
4.0.0< 4.0.0.269affected
4.1.0< 4.1.0.169affected
WSO2WSO2 Identity Server< 5.8.0unknown
5.8.0< 5.8.0.101affected
5.9.0< 5.9.0.138affected
5.10.0< 5.10.0.284affected
5.11.0< 5.11.0.321affected
WSO2WSO2 Identity Server as Key Manager< 5.9.0unknown
5.9.0< 5.9.0.148affected
5.10.0< 5.10.0.280affected
WSO2WSO2 Open Banking AM< 2.0.0unknown
2.0.0< 2.0.0.313affected
WSO2WSO2 Open Banking IAM< 2.0.0unknown
2.0.0< 2.0.0.333affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2024-1248 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Role Overwriting via Silent JIT Provisioning in Multiple WSO2 Products Enables Privilege Escalation
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
The silent Just-In-Time (JIT) provisioning feature in federated authentication implementations fails to properly segregate user roles during account creation when a federated user shares a username with a local user. This allows the provisioning process to overwrite existing roles of local users with roles assigned to the federated user. Exploitation requires a federated identity provider (IDP) with silent JIT provisioning enabled and an attacker's knowledge of a local user's username. When these conditions are met, a malicious individual can leverage the JIT provisioning process to modify the roles of local users. The overwritten roles are limited to those defined within the federated IDP, typically granting minimal access rights unless explicitly configured otherwise by the federated IDP administrator.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
证书过期验证不恰当
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
wso2 api manager 加密问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
WSO2 API Manager是美国WSO2公司开源的一套API生命周期管理解决方案。 WSO2 API Manager、WSO2 Identity Server as Key Manager和WSO2 Open Banking IAM存在加密问题漏洞,该漏洞源于联邦身份认证实现中的静默即时(JIT)预配置功能在账户创建时未正确隔离用户角色,当联邦用户与本地用户共享用户名时,预配置过程可能用分配给联邦用户的角色覆盖本地用户现有角色。成功利用此漏洞需要联邦身份提供商(IDP)启用静默JIT预配置,且攻击者
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
WSO2WSO2 API Manager 3.0.0 ~ 3.0.0.153 -
WSO2WSO2 Identity Server 5.8.0 ~ 5.8.0.101 -
WSO2WSO2 Identity Server as Key Manager 5.9.0 ~ 5.9.0.148 -
WSO2WSO2 Open Banking AM 2.0.0 ~ 2.0.0.313 -
WSO2WSO2 Open Banking IAM 2.0.0 ~ 2.0.0.333 -

二、漏洞 CVE-2024-1248 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2024-1248 的情报信息

登录查看更多情报信息。

CVE-2024-1248 厂商安全公告 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2024-1248

暂无评论


发表评论