Katalog CVE

CVE-2026-2053

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność w komponencie przepływu wiadomości WSO2 API Manager pozwala nieuwierzytelnionemu atakującemu na manipulację nagłówkami WS-Addressing. Brak odpowiedniej walidacji tych nagłówków umożliwia przekierowanie żądań inicjowanych przez serwer do dowolnych, zewnętrznych lokalizacji.

Ocena ryzyka

Ryzyko polega na możliwości uzyskania nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych lub usług, które normalnie są niedostępne z sieci zewnętrznych. Atakujący może wykorzystać serwer do przeprowadzenia ataków typu SSRF (Server-Side Request Forgery).

Rekomendacja

Należy natychmiast zaktualizować WSO2 API Manager do wersji, w której usunięto tę podatność. Do czasu aktualizacji zaleca się wdrożenie reguł firewallowych ograniczających wychodzące żądania serwera oraz walidację nagłówków WS-Addressing na poziomie proxy.

Oryginalny opis (angielski, źródło NVD)

The WSO2 API Manager's message flow component, when processing WS-Addressing headers, does not sufficiently validate or restrict user-controlled input within these headers. This omission allows an attacker to manipulate WS-Addressing headers to specify arbitrary destinations for server-initiated requests. Successful exploitation allows an unauthenticated attacker to control the destination of server-initiated requests originating from the WSO2 API Manager. This direct control can enable unauthorized access to internal network resources or services that would typically be inaccessible from external networks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS