WSO2 mahsulotlarida jiddiy zaiflik aniqlandi

WSO2 o’zining «API Manager» va «Identity Server» mahsulotlarida jiddiy zaifliklarni aniqlaganini e’lon qildi. Ushbu zaifliklar autentifikatsiya mexanizmlarini chetlab o‘tish yoki foydalanuvchi parollarini qayta o‘rnatish imkonini beradi. Bu holat, ayniqsa administratorlar kabi yuqori darajadagi hisoblarni xavf ostiga qo‘yishi mumkin. Xavf, tizimga ruxsatsiz kirish imkonini yaratib, tajovuzkorlarning tizimni boshqarish huquqiga ega bo‘lishiga olib kelishi mumkin. WSO2, xavf xavfsizligini ta’minlash uchun foydalanuvchilarga yangilanishlarni va tavsiya etilgan xavfsizlik choralarini amalga oshirishni tavsiya qiladi.

REST API Nuqtalaridagi Autentifikatsiya Zaifligi

REST API nuqtalarida aniqlangan autentifikatsiya zaifligi WSO2 API Manager 4.2.0 versiyasida mavjud bo‘lib, bu muammo juda yuqori darajadagi xavf sifatida qayd etilgan (CVSS balli 9.4). Ushbu zaiflikdan foydalanish orqali hujumchilar REST API yo‘llarini manipulyatsiya qilish orqali autentifikatsiya tekshiruvlarini chetlab o‘tishlari mumkin. Bu holat, ayniqsa, adminlar kabi boshqa foydalanuvchilar nomidan tizimga kirishga va ularning huquqlariga ega bo‘lishga imkon yaratadi. Natijada, tizimda ruxsatsiz kirish va muhim resurslar ustidan nazorat o‘rnatish kabi jiddiy xavf tug‘dirishi mumkin.

SOAP Admin Xizmatlaridagi Zaiflik

Ikkinchi zaiflik WSO2 API Manager, Identity Server va Open Banking mahsulotlarining bir necha versiyalarida aniqlangan va bu muammo ochiq holda qolgan hollarda, o‘ta yuqori xavf (CVSS balli 9.8) yoki ishonchli tarmoq ichida cheklangan holda esa yuqori xavf (CVSS balli 8.8) sifatida baholanadi. Bu zaiflik «/services» kontekst yo‘li orqali mavjud bo‘lib, admin xizmatlarining autentifikatsiya himoyasida zaifliklar mavjud. Hujumchilar ushbu zaiflikdan foydalangan holda foydalanuvchi parollarini qayta o‘rnatishlari va adminlar kabi yuqori huquqli hisob qaydnomalarini boshqarishga erishishlari mumkin. Xizmatlar ochiq bo‘lsa, bu hujumchilarga masofadan turib, muhim hisoblar, jumladan, administrator hisoblari ustidan to‘liq nazorat o‘rnatish imkonini beradi.

UZCERT xizmati, WSO2 mahsulotlari foydalanuvchilariga imkon qadar tezroq yangi xavfsizlik yangilanishlarini o‘rnatishni tavsiya etiladi.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

WSO2 mahsulotlarida jiddiy zaiflik aniqlandi

REST API Nuqtalaridagi Autentifikatsiya Zaifligi

SOAP Admin Xizmatlaridagi Zaiflik

REST API Nuqtalaridagi Autentifikatsiya Zaifligi

SOAP Admin Xizmatlaridagi Zaiflik

Xakerlar GitHub foydalanuvchilariga yangi murakkab Phishing vosita «GoIssue» yordamida hujum qilmoqda

Fortinet mahsulotlarida yuqori darajali zaifliklar aniqlandi

«SAP» xavfsizlik yangilanishlari orqali mahsulotlarida mavjud bo’lgan yuqori darajadagi zaifliklarni bartaraf etdi