Multiple Products

Die Schwachstelle betrifft mehrere Produkte von WSO2, darunter den API Manager, den Identity Server samt zugehörigen Komponenten, den Enterprise Integrator sowie die Open-Banking-Bausteine. Sie ermöglicht das unbeschränkte Hochladen von Dateien, das in der Folge zur Ausführung von beliebigem Schadcode aus der Ferne führt. Der Angreifer nutzt dazu einen Datei-Upload-Endpunkt und versieht die Datei mit einer manipulierten Angabe zum Speicherort, die einen Verzeichniswechsel erzwingt (sogenannter Directory Traversal). So lässt sich die hochgeladene Datei gezielt in ein Verzeichnis unterhalb des Web-Wurzelverzeichnisses ablegen, etwa in den Bereich, aus dem die Server-Anwendungen ausgeliefert werden. Eine dort platzierte Datei kann anschließend vom Server ausgeführt werden, wodurch der Angreifer eigenen Code auf dem System zur Ausführung bringt und die Kontrolle über das betroffene Produkt erlangt. Da die genannten Produkte häufig zentrale Aufgaben der Authentifizierung und Integration übernehmen, ist die Auswirkung einer Übernahme entsprechend weitreichend.