阿里云漏洞库

漏洞描述

WSO2 products中存在跨站脚本漏洞，该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。主要受影响版本如下：API Manager 2.2.0版本, API Manager Analytics 2.2.0版本,API Microgateway 2.2.0版本,Data Analytics Server 3.2.0版本,Enterprise Integrator 从6.6.0开始版本, IS as Key Manager 5.5.0版本, Identity Server 5.5.0版本和5.8.0版本, Identity Server Analytics 5.5.0版本,IoT Server 3.3.0版本和3.3.1版本.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://security.docs.wso2.com/en/latest/security-announcements/security-advi...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	wso2	api_manager	2.2.0	-
	运行在以下环境
	应用	wso2	api_manager_analytics	2.2.0	-
	运行在以下环境
	应用	wso2	api_microgateway	2.2.0	-
	运行在以下环境
	应用	wso2	data_analytics_server	3.2.0	-
	运行在以下环境
	应用	wso2	enterprise_integrator	*		Up to (including) 6.6.0
	运行在以下环境
	应用	wso2	identity_server	5.5.0	-
	运行在以下环境
	应用	wso2	identity_server	5.8.0	-
	运行在以下环境
	应用	wso2	identity_server_analytics	5.5.0	-
	运行在以下环境
	应用	wso2	identity_server_as_key_manager	5.5.0	-
	运行在以下环境
	应用	wso2	iot_server	3.3.0	-
	运行在以下环境
	应用	wso2	iot_server	3.3.1	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

WSO2跨站脚本漏洞

漏洞描述

解决建议

参考链接

受影响软件情况