关键信息 漏洞概述 漏洞编号: WSO2-2024-3178/CVE-2024-8008 发布日期: 2025年3月18日 更新日期: 2025年3月18日 严重性: 中等 (CVSS评分: 5.2) 影响产品 WSO2 API Manager: 4.3.0, 4.2.0, 4.1.0, 4.0.0, 3.2.1, 3.2.0, 3.1.0 WSO2 Enterprise Integrator: 6.6.0 WSO2 Identity Server as Key Manager: 5.10.0 WSO2 Identity Server: 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Open Banking AM: 2.0.0 描述 由于错误消息中缺乏编码,可以通过在JDBC用户存储连接验证请求中注入恶意负载来执行反射型跨站脚本(XSS)攻击。 影响 利用XSS攻击,恶意行为者可以使浏览器重定向到恶意网站、更改网页UI、从浏览器检索信息或造成其他危害。但由于所有与会话相关的敏感cookie都设置了HttpOnly标志并受到保护,因此无法进行会话劫持或其他类似攻击。 解决方案 社区用户(开源): 应用提供的公共修复。 - GitHub修复链接 - 如果无法应用修复或更新,请迁移到最新未受影响版本的产品。 支持订阅持有者: 更新产品到指定的更新级别或更高级别以应用修复。 更新级别表