Sathish Kumar Balakrishnan

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Foi identificada uma possível vulnerabilidade de Cross-Site Scripting (XSS) refletido na página de criação de fontes de dados do Console de Gerenciamento. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere restringir o acesso à página de criação de fonte de dados do Console de Gerenciamento até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a funcionalidade de criação de fonte de dados no Console de Gerenciamento para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Um ataque XSS refletido poderia ser executado na página do editor de documentação de API embutido do API Publisher ao enviar uma solicitação HTTP GET com um parâmetro de solicitação `docName` malicioso. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere restringir o acesso à página do editor de documentação de API embutido até que uma correção esteja disponível e evite usar parâmetros de solicitação `docName` maliciosos em solicitações HTTP GET.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 WSO2 IS as Key Manager versão 5.7.0 WSO2 Identity Server versão 5.8.0 **Descrição** Foi descoberta uma vulnerabilidade em que, se um dialeto de reivindicação for configurado com uma carga XSS no URI do dialeto e um usuário adicionar o URI desse dialeto como o dialeto de reivindicação do provedor de serviços durante a configuração do provedor, a carga será executada. O invasor precisa ter privilégios para fazer login no console de gerenciamento e para adicionar e configurar dialetos de reivindicação. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere desativar o recurso de configuração de dialeto de reivindicação até que um patch esteja disponível. Para o WSO2 IS as Key Manager versão 5.7.0, restrinja o acesso ao console de gerenciamento para minimizar o risco de exploração. Para o WSO2 Identity Server versão 5.8.0, evite usar o URI do dialeto de reivindicação na configuração do provedor de serviços até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 WSO2 IS as Key Manager versão 5.7.0 WSO2 Identity Server versão 5.8.0 **Descrição** Foi descoberta uma vulnerabilidade em que um dialeto de reivindicação personalizado com uma carga XSS, quando configurado na configuração básica de reivindicações do provedor de identidade, é executado se um usuário selecionar a URI desse dialeto como a reivindicação de provisionamento na configuração avançada de reivindicações do mesmo provedor de identidade. O invasor precisa ter privilégios para fazer login no console de gerenciamento e para adicionar e atualizar configurações do provedor de identidade. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere desativar a configuração do dialeto de reivindicação personalizado até que um patch esteja disponível. Para o WSO2 IS como Key Manager versão 5.7.0, restrinja o acesso à configuração de reivindicação básica do provedor de identidade para minimizar o risco de exploração. Para o WSO2 Identity Server versão 5.8.0, evite usar a reivindicação de provisionamento na configuração avançada de reivindicações até que o problema seja resolvido. Como solução alternativa temporária, considere restringir os privilégios para fazer login no console de gerenciamento e para adicionar e atualizar configurações do provedor de identidade.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Foi identificada uma possível vulnerabilidade de Cross-Site Scripting (XSS) armazenada na página do editor de documentação de API embutido do API Publisher. Isso poderia permitir que scripts maliciosos fossem armazenados e executados, afetando potencialmente os usuários do API Manager. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere desativar a página do editor de documentação de API embutido até que uma correção esteja disponível, a fim de evitar a possível exploração da vulnerabilidade de Cross-Site Scripting armazenado.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Foi identificada uma possível vulnerabilidade de Cross-Site Scripting (XSS) refletido na definição de um escopo na página “gerenciar a API” do API Publisher. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere restringir o acesso à página “gerenciar a API” do API Publisher até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o recurso de definição de escopo no API Publisher para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Foi identificada uma possível vulnerabilidade de tipo Reflected Cross-Site Scripting (XSS) no recurso de atualização da documentação da API do API Publisher. Isso poderia permitir a execução de scripts maliciosos. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere desativar o recurso de atualização da documentação da API no API Publisher até que um patch esteja disponível. Restrinja o acesso a esse recurso para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 **Descrição** Foi identificada uma possível vulnerabilidade de tipo Stored Cross-Site Scripting (XSS) na “fase de implementação” do API Publisher. Isso poderia permitir que scripts maliciosos fossem armazenados e executados, levando potencialmente a violações de segurança. **Recomendações** Para o WSO2 API Manager versão 2.6.0, considere desativar a “fase de implementação” do API Publisher até que uma correção esteja disponível para evitar a possível exploração da vulnerabilidade de Stored Cross-Site Scripting (XSS).

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 WSO2 Enterprise Integrator versão 6.5.0 WSO2 IS as Key Manager versão 5.7.0 WSO2 Identity Server versão 5.8.0 **Descrição** Foi identificada uma vulnerabilidade potencial de Cross-Site Scripting (XSS) armazenada no componente `roleToAuthorize` da interface do usuário do registro. Esse problema afeta os produtos WSO2 especificados, podendo permitir a execução de scripts maliciosos. **Recomendações** Para o WSO2 API Manager versão 2.6.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 Enterprise Integrator versão 6.5.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 IS as Key Manager versão 5.7.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 Identity Server versão 5.8.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Como solução alternativa temporária, considere restringir o acesso à interface do usuário do registro para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WSO2 API Manager versão 2.6.0 WSO2 Enterprise Integrator versão 6.5.0 WSO2 IS as Key Manager versão 5.7.0 WSO2 Identity Server versão 5.8.0 **Descrição** Foi identificada uma vulnerabilidade potencial de Cross-Site Scripting (XSS) armazenada no `mediaType` na interface do usuário do registro. Esse problema afeta os produtos WSO2 mencionados, podendo permitir a execução de scripts maliciosos. **Recomendações** Para o WSO2 API Manager versão 2.6.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 Enterprise Integrator versão 6.5.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 IS as Key Manager versão 5.7.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Para o WSO2 Identity Server versão 5.8.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de Cross-Site Scripting armazenada. Como solução alternativa temporária, considere restringir o acesso à interface do usuário do registro para minimizar o risco de exploração.