关键信息 漏洞编号 WSO2-2024-3574/CVE-2024-7097 影响的产品版本 WSO2 API Manager: 4.3.0, 4.2.0, 4.1.0, 4.0.0, 3.2.1, 3.2.0, 3.1.0, 3.0.0, 2.6.0, 2.5.0, 2.2.0, 2.1.0, 2.0.0 WSO2 Identity Server: 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0, 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0 WSO2 Identity Server as Key Manager: 5.10.0, 5.9.0, 5.8.0, 5.6.0, 5.5.0, 5.3.0 WSO2 Open Banking AM: 2.0.0, 1.3.0, 1.4.0, 1.3.0 WSO2 Open Banking KM: 2.0.0 WSO2 Open Banking KM: 1.5.0, 1.4.0, 1.3.0 漏洞描述 概述: WSO2 admin service 允许用户注册,无论自注册配置如何。 详细描述: WSO2 产品中的 SOAP admin service 存在一个安全漏洞,允许创建新用户账户,而无需考虑自注册配置设置。 影响 恶意行为者可以利用此漏洞创建多个低权限用户并持续访问系统。这可能被用来通过不断创建此类用户来耗尽系统资源。 解决方案 社区用户(开源): 强烈建议迁移到各自 WSO2 产品的最新版本以缓解已知漏洞。 商业用户: 更新您的产品到指定的更新级别或更高模块级别以应用修复。 所有用户: 如果无法应用修复或升级,请迁移到相应 WSO2 产品的最新未受影响版本。 配置更改 对于 XML 基础配置模型,可以在 文件中添加以下配置: 对于 APIM 2.x 版本,如果自注册不是业务用例的要求,则不需要进行任何额外更改。如果需要禁用自注册,还需在 APIM 管理控制台中禁用“自注册”功能。