提问人:SRUJAN ANNAM 提问时间:10/23/2023 更新时间:10/25/2023 访问量:53
WSO2 Identity Server 6.1.0 上的 CVE-2022-29548
CVE-2022-29548 on WSO2 Identity Server 6.1.0
问:
我们正在使用 WSO2 Identity Server 6.1.0,在最新的扫描中,报告它包含 CVE-2022-29548:WSO2 管理控制台 XSS。它已使用“GET /carbon/admin/login.jsp status=false&error code=%27);alert(document.domain)//”。是否有人面临类似的漏洞,以及如何处理此问题的任何建议?
我们尝试执行 GET /carbon/admin/login.jsp status=false&error code=%27);alert(document.domain)// 并且预期结果不应显示警报。
答:
1赞
Anshajanth Yoganathan
10/25/2023
#1
此问题已修复[1][2]。如果您是 WSO2 订阅持有人,请联系 WSO2 支持门户以获得进一步的帮助。
- https://security.docs.wso2.com/en/latest/security-announcements/cve-to-wso2-security-advisory-mapping/
- https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2022/WSO2-2021-1603/
评论
0赞
SRUJAN ANNAM
10/26/2023
我们仍然在 WSO2 IS 6.1.x 的管理控制台页面上看到此问题。我们目前正在使用社区开源下载版,并且不持有任何订阅。
0赞
Anshajanth Yoganathan
11/29/2023
大多数安全补丁都是通过 WSO2 更新管理器为订阅持有者发布的。尽管如此,社区用户仍可根据相应 WSO2 安全公告中提供的信息自行应用修复程序。
评论