关键信息 漏洞标识 安全公告编号: WSO2-2024-2702/CVE-2024-3511 发布日期: 2025年3月18日 更新日期: 2025年5月29日 严重性: 中等 CVSS评分: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) 影响产品 WSO2 API Manager: 4.3.0, 4.2.0, 4.1.0, 4.0.0, 3.2.1, 3.2.0 WSO2 Enterprise Integrator: 6.6.0 WSO2 Identity Server: 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0 WSO2 Identity Server as Key Manager: 5.10.0 WSO2 Open Banking AM: 2.0.0 WSO2 Open Banking IAM: 2.0.0 概述 由于授权实现不当,恶意用户能够通过特定的绕过方法访问注册表中的版本化文件。 影响 此漏洞允许恶意行为者绕过授权控制并读取注册表中的版本化文件。然而,要利用此漏洞,恶意行为者需要访问管理控制台。 解决方案 社区用户(开源): 应用提供的公共修复程序。 - GitHub修复链接 - 如果无法应用修复或更新,请迁移到最新未受影响的WSO2产品版本。 支持订阅持有者: 更新产品到指定的更新级别或更高版本以应用修复。 致谢 感谢Viral Maniar(Preemptive Cyber Security Pty Ltd的安全研究员)负责任地报告了该问题,并与我们合作解决。