CVE-2024-2374 in API Managerthông tin

Tóm tắt

Bởi VulDB • 14/06/2026

Các trình phân tích XML trong nhiều sản phẩm WSO2 chấp nhận dữ liệu XML do người dùng cung cấp mà không được cấu hình đúng cách để ngăn chặn việc giải quyết các thực thể bên ngoài (external entities). Sự thiếu sót này cho phép các tác nhân độc hại tạo ra các tải trọng XML nhằm khai thác hành vi của trình phân tích, dẫn đến việc nhúng các tài nguyên bên ngoài.

Bằng cách lợi dụng lỗ hổng này, kẻ tấn công có thể đọc các tệp tin nhạy cảm từ hệ thống tệp và truy cập vào các tài nguyên HTTP hạn chế mà sản phẩm có thể tiếp cận được. Ngoài ra, lỗ hổng này cũng có thể bị khai thác để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) bằng cách làm cạn kiệt tài nguyên máy chủ thông qua việc mở rộng thực thể đệ quy hoặc tải về các tài nguyên bên ngoài lớn.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

WSO2

Đặt trước

11/03/2024

Tiết lộ

16/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00377

KEV

không

Các hoạt động

rất thấp

ngành

Finance

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!