我们观察到自4月份以来,漏洞CVE-2022-29464在野外被利用,允许不受限制的文件上传,从而导致从这里找到的任意远程代码执行(RCE)
这影响WSO2 API Manager 2.2.0及以上版本、Identity Server 5.2.0及以上、Identity Server Analytics 5.4.0至5.6.0、Identity Server as Key Manager 5.3.0及以上,Open Banking AM 1.4.0及以上以及Enterprise Integrator 6.2.0及以上。
我们使用的是WSO2 EI产品V6.4.0/6.5.0。
我也看过安全咨询WSO2-2021-1738指南。
我们没有支持订阅,所以我计划删除<product_home>/conf/carbon.xml中的<FileUploadConfig>映射,如WSO2安全咨询页面中所建议的那样。
这种缓解措施是否足够,还是我们需要进一步集中精力?
根据建议,禁用文件上传服务似乎不是一个完整的解决方案。如果你看看已经实现的修复程序,它也有代码级别的更改。[1]
[1] -https://github.com/wso2/carbon-kernel/pull/3152/files