CVE-2022-47551

Versões do Apiman 1.5.7 a 2.2.3.Final

O problema é causado por verificações insuficientes das permissões de leitura na API REST do Apiman Manager, permitindo que um usuário mal-intencionado acesse APIs privadas para as quais não possui permissão. Isso se deve à aceitação acidental, pelo projeto Apiman, de uma grande contribuição que não era totalmente compatível com o modelo de segurança das versões do Apiman anteriores à 3.0.0.Final. Um invasor remoto autenticado pode acessar informações e recursos em uma organização do Apiman da qual não é membro e/ou para a qual não possui permissões. Por exemplo, um invasor pode ser capaz de criar uma solicitação HTTP para descobrir APIs privadas de organizações das quais não é membro. Se o invasor tiver permissões suficientes em sua própria organização, ele também poderá se inscrever nas APIs privadas que descobriu, obtendo assim acesso a um recurso protegido pelo Gerenciamento de APIs ao qual não deveria ter acesso.

Atualize para o Apiman 3.0.0.Final ou posterior para corrigir o problema. Se estiver usando uma versão mais antiga do Apiman, entre em contato com o provedor de suporte do Apiman para obter orientação e suporte de longo prazo. Como solução alternativa temporária, considere restringir o acesso à API REST do Apiman Manager para minimizar o risco de exploração. Evite usar a API para descobrir ou se inscrever em APIs privadas até que o problema seja resolvido.