关键信息 漏洞概述 漏洞编号: WSO2-2024-3562/CVE-2024-7073 发布日期: 2024年11月10日 版本: 1.0.0 严重性: 中等 CVSS评分: 6.5 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 影响产品 WSO2 Identity Server: 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0, 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0 WSO2 Identity Server as Key Manager: 5.10.0, 5.9.0, 5.7.0, 5.6.0, 5.5.0, 5.3.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Open Banking KM: 1.5.0, 1.4.0, 1.3.0 漏洞描述 概述: 在SOAP管理服务中存在未认证的服务器端请求伪造(SSRF)。 详细描述: 由于缺乏输入验证,恶意行为者可以通过SOAP管理服务执行服务器端请求伪造(SSRF)攻击。 影响 影响: 此漏洞允许恶意行为者访问通过网络或文件系统可用的内部和外部资源。这可能导致对敏感数据和系统的未经授权访问,无论这些资源是否位于私有网络中,只要它们可被WSO2产品访问。 解决方案 社区用户(开源): 使用提供的公共修复程序更新产品。 - GitHub链接 商业用户: 更新产品到指定的更新级别或更高版本以应用修复。 所有用户: 如果无法应用修复或更新,迁移到最新不受影响的WSO2产品版本。