CVE-2022-29464

WSO2 API Manager, versões 2.2.0 a 4.0.0

WSO2 Identity Server, versões 5.2.0 a 5.11.0

WSO2 Identity Server Analytics, versões 5.4.0, 5.4.1, 5.5.0 e 5.6.0

WSO2 Identity Server como Key Manager, versões 5.3.0 a 5.11.0

WSO2 Enterprise Integrator, versões 6.2.0 a 6.6.0

WSO2 Open Banking AM, versões 1.4.0 a 2.0.0

WSO2 Open Banking KM, versões 1.4.0 a 2.0.0

Certos produtos WSO2 permitem o upload irrestrito de arquivos, resultando na execução remota de código. O invasor deve usar um endpoint “/fileupload” com uma sequência de traversal de diretório Content-Disposition para acessar um diretório sob a raiz da web, como o diretório ../../../../repository/deployment/server/webapps. Essa vulnerabilidade pode ser explorada através do upload de arquivos JSP maliciosos para o servidor, permitindo a execução remota de código não autorizada.

Para o WSO2 API Manager, versões 2.2.0 a 4.0.0, atualize para uma versão que contenha uma correção para essa vulnerabilidade.

Para as versões 5.2.0 a 5.11.0 do WSO2 Identity Server, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

Para as versões 5.4.0, 5.4.1, 5.5.0 e 5.6.0 do WSO2 Identity Server Analytics, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

Para o WSO2 Identity Server como Key Manager, versões 5.3.0 a 5.11.0, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

Para o WSO2 Enterprise Integrator, versões 6.2.0 a 6.6.0, atualize para