허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
CVE-ID
CVE-2022-29548
개요
WSO2 Management 관리 콘솔의 XSS(교차 사이트 스크립팅) 취약점 발견
설명
부적절한 출력 인코딩으로 인해 관리 콘솔에서 매개변수를 변조하여 XSS(반사 교차 사이트 스크립팅) 공격을 수행할 수 있습니다.
영향 받는 제품
WSO2 API Manager : 2.2.0 , 2.5.0 , 2.6.0 , 3.0.0 , 3.1.0 , 3.2.0 , 4.0.0
WSO2 API Manager Analytics : 2.2.0 , 2.5.0 , 2.6.0
WSO2 API Microgateway : 2.2.0
WSO2 Data Analytics Server : 3.2.0
WSO2 Enterprise Integrator : 6.2.0 , 6.3.0 , 6.4.0 , 6.5.0 , 6.6.0
WSO2 IS as Key Manager : 5.5.0 , 5.6.0 , 5.7.0 , 5.9.0 , 5.10.0
WSO2 Identity Server : 5.5.0 , 5.6.0 , 5.7.0 , 5.9.0 , 5.10.0 , 5.11.0
WSO2 Identity Server Analytics : 5.5.0 , 5.6.0
WSO2 Micro Integrator : 1.0.0
IMPACT
XSS 공격을 이용하여 악의적인 행위자는 브라우저를 악의적인 웹 사이트로 리디렉션하고, 웹 페이지의 UI를 변경하고, 브라우저에서 정보를 검색하거나 다른 방식으로 피해를 줄 수 있습니다. 그러나 모든 세션 관련 민감한 쿠키는 httpOnly 플래그로 설정되어 보호되므로 세션 하이재킹 또는 이와 유사한 공격이 불가능합니다.
해결책
영향을 받는 WSO2 제품의 최신 버전이 영향을 받는 제품 목록에 언급되지 않은 경우 최신 버전으로 마이그레이션하여 보안 수정 사항을 받을 수 있습니다. 그렇지 않으면 공개 수정 사항을 기반으로 관련 수정 사항을 제품에 적용할 수 있습니다. https://github.com/wso2/carbon-kernel/pull/3145
참고 사이트
https://nvd.nist.gov/vuln/detail/CVE-2022-29548#vulnCurrentDescriptionTitle
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29548
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1603
'Code::Security > 취약점' 카테고리의 다른 글
| phpMyAdmin - Client-Side Code Injection (CVE-2010-4480) (0) | 2022.08.01 |
|---|---|
| WSO2 API MANAGER FILE UPLOAD (CVE-2022-29464) (0) | 2022.07.07 |
| JexBoss 오픈 소스 도구를 통한 취약점 점검 (0) | 2022.07.04 |
| SolarView Compact 6.0 Command Injection (CVE-2022-29303) (0) | 2022.06.23 |
| 취약점 표준 코드 "CVE"의 개념과 목적 (0) | 2022.06.23 |