CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2022-29464

CVSS 9.8v3.1pub. 2022-04-18upd. 2025-11-07

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must use a /fileupload endpoint with a Content-Disposition directory traversal sequence to reach a directory under the web root, such as a ../../../../repository/deployment/server/webapps directory. This affects WSO2 API Manager 2.2.0 up to 4.0.0, WSO2 Identity Server 5.2.0 up to 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 and 5.6.0, WSO2 Identity Server as Key Manager 5.3.0 up to 5.11.0, WSO2 Enterprise Integrator 6.2.0 up to 6.6.0, WSO2 Open Banking AM 1.4.0 up to 2.0.0 and WSO2 Open Banking KM 1.4.0, up to 2.0.0.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wso2 Api Manager

    APP
    Wso2
    2.2.0 – 4.0.0
  • Wso2 Enterprise Integrator

    APP
    Wso2
    6.2.0 – 6.6.0
  • Wso2 Identity Server

    APP
    Wso2
    5.2.0 – 5.11.0
  • Wso2 Identity Server Analytics

    APP
    Wso2
    5.4.05.4.15.5.05.6.0
  • Wso2 Identity Server As Key Manager

    APP
    Wso2
    5.3.0 – 5.10.0
  • Wso2 Open Banking Am

    APP
    Wso2
    1.3.0 – 2.0.0
  • Wso2 Open Banking Iam

    APP
    Wso2
    2.0.0
  • Wso2 Open Banking Km

    APP
    Wso2
    1.3.0 – 1.5.0

CISA KEV — szczegółyi

Dostawcai
WSO2
Produkti
Multiple Products
Data dodania do KEVi
25 kwietnia 2022
Termin remediation (USA)i
16 maja 2022(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Wiele produktów WSO2 pozwala na nieograniczony upload plików, w wyniku czego dochodzi do zdalnego wykonania kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Multiple WSO2 products allow for unrestricted file upload, resulting in remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 16 maja 2022
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9804CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)