重要情報 脆弱性の概要 脆弱性番号: WSO2-2024-3562/CVE-2024-7073 公開日: 2024年11月10日 バージョン: 1.0.0 深刻度: 中 CVSSスコア: 6.5 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 影響を受ける製品 WSO2 Identity Server: 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0, 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0 WSO2 Identity Server as Key Manager: 5.10.0, 5.9.0, 5.7.0, 5.6.0, 5.5.0, 5.3.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Open Banking KM: 1.5.0, 1.4.0, 1.3.0 脆弱性の説明 概要: SOAP管理サービスにおいて、認証不要のサーバーサイドリクエストフォージェリ(SSRF)が存在する。 詳細: 入力検証の不備により、攻撃者はSOAP管理サービスを通じてサーバーサイドリクエストフォージェリ(SSRF)攻撃を実行できる。 影響 影響: この脆弱性により、攻撃者はネットワークまたはファイルシステム上でアクセス可能な内部および外部のリソースにアクセスできる。これにより、リソースがプライベートネットワーク内にあっても、WSO2製品からアクセス可能な場合に、機密データやシステムへの無断アクセスにつながる可能性がある。 解決策 コミュニティユーザー(オープンソース): 公開されているパッチを使用して製品を更新する。 - GitHubリンク 商用ユーザー: パッチを適用するため、指定された更新レベル以上のバージョンに製品を更新する。 すべてのユーザー: パッチや更新の適用が不可能な場合、影響を受けない最新バージョンのWSO2製品に移行する。