GHSA-mfgw-52pj-hrhg

Опубликовано: 20 апр. 2022

Источник: github

Github: Не прошло ревью

CVSS3: 9.8

Описание

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. This affects WSO2 API Manager 2.2.0 and above through 4.0.0; WSO2 Identity Server 5.2.0 and above through 5.11.0; WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, and 5.6.0; WSO2 Identity Server as Key Manager 5.3.0 and above through 5.10.0; and WSO2 Enterprise Integrator 6.2.0 and above through 6.6.0.

Ссылки

EPSS

Процентиль: 100%

0.94434

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2022-29464

Дефекты

CWE-22

CWE-434

Связанные уязвимости

CVE-2022-29464

CVSS3: 9.8

nvd

почти 4 года назад

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must use a /fileupload endpoint with a Content-Disposition directory traversal sequence to reach a directory under the web root, such as a ../../../../repository/deployment/server/webapps directory. This affects WSO2 API Manager 2.2.0 up to 4.0.0, WSO2 Identity Server 5.2.0 up to 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 and 5.6.0, WSO2 Identity Server as Key Manager 5.3.0 up to 5.11.0, WSO2 Enterprise Integrator 6.2.0 up to 6.6.0, WSO2 Open Banking AM 1.4.0 up to 2.0.0 and WSO2 Open Banking KM 1.4.0, up to 2.0.0.

BDU:2022-02512

CVSS3: 9.8

fstec

почти 4 года назад

Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с возможностью загрузки произвольного JSP-файла на сервер, позволяющая нарушителю

EPSS

Процентиль: 100%

0.94434

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2022-29464

Дефекты

CWE-22

CWE-434