Notícias
ALERTA 12/2022
[TLP:WHITE]
1. Alertamos, sobre a vulnerabilidade crítica nos produtos da WSO2, presentes em plataforma de desenvolvimento API-Manager e utilizado na solução de APIs.
- WSO2 API Manager 2.2.0 e superior
- WSO2 Identity Server 5.2.0 e superior
- WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
- WSO2 Identity Server as Key Manager 5.3.0 e supeior
- WSO2 Enterprise Integrator 6.2.0 e superior
- WSO2 Open Banking AM 1.4.0 e superior
- WSO2 Open Banking KM 1.4.0 e superior
2. A vulnerabilidade catalogada no CVE-2022-29464 permite o upload irrestrito de arquivos, possibilitando a execução de código remoto. Através da utilização do "endpoint" /fileupload, pode-se fazer upload de arquivos no diretório raiz da aplicação Web, utilizando o "PATH Transversal ../../../../repository/deployment/server/webapps". Dessa maneira, o atacante pode injetar código na aplicação através da inserção de arquivos.
3. O fabricante disponibilizou as devidas correções, além de soluções alternativas disponibilizadas através do link abaixo:
4. Mais informações a respeito da referida vulnerabilidade podem ser encontradas em:
5. O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais orientem a constituency de seus respectivos setores sobre o tratado neste alerta, de acordo com suas diretrizes e políticas específicas.
6. Outrossim, cabe a leitura atenta, por parte de todos os Órgãos da Administração Pública Federal, do Decreto citado disponível em:
7. Por fim, o CTIR Gov indica a consulta frequente aos alertas e recomendações divulgadas em:
Equipe CTIR Gov
[TLP:WHITE]