CVE-2022-29464

WSO2 Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-04-25

Официальное описание

Multiple WSO2 products allow for unrestricted file upload, resulting in remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправить на уязвимый сервер WSO2 специально сформированный архивный файл (.jar, .zip и т.д.). Система некорректно проверяет загружаемые файлы, что позволяет злоумышленнику записать произвольный файл (например, веб-шелл) в каталоги, доступные для выполнения. Это приводит к удаленному выполнению кода (RCE) с правами пользователя, под которым работает сервис WSO2.

Как исправить

Уязвимость устранена в следующих патчах. Обновите ваш продукт WSO2 до соответствующей версии:

  • WSO2 API Manager: до версии 4.0.0 или установите патч WSO2-CARBON-PATCH-4.4.0-5151
  • WSO2 Identity Server: до версии 5.11.0 или установите патч WSO2-CARBON-PATCH-4.4.0-5151
  • WSO2 Enterprise Integrator: до версии 6.6.0 или установите патч WSO2-CARBON-PATCH-4.4.0-5151

Процесс обновления (пример для Linux): 1. Остановите сервис WSO2. bash sudo systemctl stop wso2is # Пример для Identity Server 2. Создайте резервную копию текущей установки. bash cp -r /home/wso2/wso2is-5.10.0 /home/wso2/wso2is-5.10.0_backup 3. Замените папку bin и файлы .jar в директории repository/components/plugins/ на версии из патча или выполните полное обновление продукта, следуя официальной документации WSO2. 4. Запустите сервис. bash sudo systemctl start wso2is

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничение доступа по сети: Настройте брандмауэр (например, iptables или облачный Security Group) так, чтобы порты веб-консоли управления WSO2 (по умолчанию 9443) были доступны только с доверенных IP-адресов (администраторов, VPN). bash # Пример iptables: разрешить доступ только с IP 192.168.1.100 sudo iptables -A INPUT -p tcp --dport 9443 -s 192.168.1.100 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 9443 -j DROP

  2. Настройка WAF (Web Application Firewall): Разместите перед сервером WAF (например, ModSecurity, облачный WAF) и активируйте правила, блокирующие:

    • Загрузку файлов с опасными расширениями (.jsp, .war, .jar).
    • HTTP-запросы, содержащие в теле известные сигнатуры эксплойтов для CVE-2022-29464.

  3. Удаление уязвимого компонента: Если функционал загрузки файлов через уязвимый эндпоинт (/fileupload/toolsAny) не используется, рассмотрите возможность его временного отключения через конфигурацию или удаления соответствующего веб-приложения.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей