Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-29464

Опубликовано: 18 апр. 2022
Источник: nvd
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must use a /fileupload endpoint with a Content-Disposition directory traversal sequence to reach a directory under the web root, such as a ../../../../repository/deployment/server/webapps directory. This affects WSO2 API Manager 2.2.0 up to 4.0.0, WSO2 Identity Server 5.2.0 up to 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 and 5.6.0, WSO2 Identity Server as Key Manager 5.3.0 up to 5.11.0, WSO2 Enterprise Integrator 6.2.0 up to 6.6.0, WSO2 Open Banking AM 1.4.0 up to 2.0.0 and WSO2 Open Banking KM 1.4.0, up to 2.0.0.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:wso2:api_manager:*:*:*:*:*:*:*:*
Версия от 2.2.0 (включая) до 4.0.0 (включая)
cpe:2.3:a:wso2:enterprise_integrator:*:*:*:*:*:*:*:*
Версия от 6.2.0 (включая) до 6.6.0 (включая)
cpe:2.3:a:wso2:identity_server:*:*:*:*:*:*:*:*
Версия от 5.2.0 (включая) до 5.11.0 (включая)
cpe:2.3:a:wso2:identity_server_analytics:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:wso2:identity_server_analytics:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:wso2:identity_server_analytics:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:wso2:identity_server_analytics:5.6.0:*:*:*:*:*:*:*
cpe:2.3:a:wso2:identity_server_as_key_manager:*:*:*:*:*:*:*:*
Версия от 5.3.0 (включая) до 5.10.0 (включая)
cpe:2.3:a:wso2:open_banking_am:*:*:*:*:*:*:*:*
Версия от 1.3.0 (включая) до 2.0.0 (включая)
cpe:2.3:a:wso2:open_banking_iam:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:wso2:open_banking_km:*:*:*:*:*:*:*:*
Версия от 1.3.0 (включая) до 1.5.0 (включая)

EPSS

Процентиль: 100%
0.94434
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-22
CWE-22

Связанные уязвимости

github логотип

GHSA-mfgw-52pj-hrhg

CVSS3: 9.8
github
почти 4 года назад

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. This affects WSO2 API Manager 2.2.0 and above through 4.0.0; WSO2 Identity Server 5.2.0 and above through 5.11.0; WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, and 5.6.0; WSO2 Identity Server as Key Manager 5.3.0 and above through 5.10.0; and WSO2 Enterprise Integrator 6.2.0 and above through 6.6.0.

fstec логотип

BDU:2022-02512

CVSS3: 9.8
fstec
почти 4 года назад

Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с возможностью загрузки произвольного JSP-файла на сервер, позволяющая нарушителю

EPSS

Процентиль: 100%
0.94434
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-22
CWE-22