CVE-ID:CVE-2022-29464 - 安全公告 WSO2-2021-1738
CVE-ID: CVE-2022-29464 - Security Advisory WSO2-2021-1738
我们观察到漏洞 CVE-2022-29464 自 4 月以来被广泛利用,允许不受限制的文件上传,导致从 here
中发现的任意远程代码执行 (RCE)
这会影响 WSO2 API Manager 2.2.0 及更高版本、Identity Server 5.2.0 及更高版本、Identity Server Analytics 5.4.0 至 5.6.0、Identity Server as Key Manager 5.3.0 及更高版本, Open Banking AM 1.4.0 及以上版本,Enterprise Integrator 6.2.0 及以上版本。
我们正在使用 WSO2 EI 产品 V6.4.0/6.5.0。
我也看过Security Advisory WSO2-2021-1738指南。
我们没有支持订阅,所以我打算按照同一 WSO2 安全咨询页面中的建议删除 <FileUploadConfig> 中的 <product_home>/conf/carbon.xml 映射。
这个缓解步骤是否足够,或者我们是否需要进一步专注于此?
根据咨询,禁用文件上传服务似乎不是一个完整的解决方案。如果您查看已实施的修复,它也有 code-level 更改。[1]
我们观察到漏洞 CVE-2022-29464 自 4 月以来被广泛利用,允许不受限制的文件上传,导致从 here
这会影响 WSO2 API Manager 2.2.0 及更高版本、Identity Server 5.2.0 及更高版本、Identity Server Analytics 5.4.0 至 5.6.0、Identity Server as Key Manager 5.3.0 及更高版本, Open Banking AM 1.4.0 及以上版本,Enterprise Integrator 6.2.0 及以上版本。
我们正在使用 WSO2 EI 产品 V6.4.0/6.5.0。
我也看过Security Advisory WSO2-2021-1738指南。
我们没有支持订阅,所以我打算按照同一 WSO2 安全咨询页面中的建议删除 <FileUploadConfig> 中的 <product_home>/conf/carbon.xml 映射。
这个缓解步骤是否足够,或者我们是否需要进一步专注于此?
根据咨询,禁用文件上传服务似乎不是一个完整的解决方案。如果您查看已实施的修复,它也有 code-level 更改。[1]