我們觀察到漏洞CVE-2022-29464自 4 月以來一直在野外被利用,允許不受限制的檔案上傳導致從此處發現的任意遠程代碼執行 (RCE)
這會影響 WSO2 API Manager 2.2.0 及更高版本、Identity Server 5.2.0 及更高版本、Identity Server Analytics 5.4.0 至 5.6.0、Identity Server as Key Manager 5.3.0 及更高版本、Open Banking AM 1.4.0 及更高版本,和 Enterprise Integrator 6.2.0 及更高版本。
我們正在使用 WSO2 EI 產品 V??6.4.0/6.5.0。
我也看過安全咨詢 WSO2-2021-1738指南。
我們沒有支持訂閱,因此我計劃按照同一 WSO2 安全咨詢頁面<FileUploadConfig>中的建議洗掉映射。<product_home>/conf/carbon.xml
這種緩解措施是否足夠,還是我們需要更多地關注這一點?
uj5u.com熱心網友回復:
根據公告,禁用檔案上傳服務似乎不是一個完整的修復。如果您查看已實施的修復程式,它也有代碼級別的更改。 [1]
[1] - https://github.com/wso2/carbon-kernel/pull/3152/files
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/488264.html
標籤:安全 wso2 wso2esb wso2碳 wso2ei
