| Title | WSO2のWSO2 API Managerにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | 認証エンドポイントは、ユーザーから提供された入力を適切に検証せずにレスポンスに反映します。これにより、攻撃者は入力パラメータに悪意のあるスクリプトペイロードを注入でき、被害者のブラウザでそれが実行されます。悪用に成功すると、攻撃者はユーザーのブラウザを悪意のあるウェブサイトにリダイレクトしたり、ウェブページのUIを変更したり、ブラウザから情報を取得したりすることが可能になります。しかし、httpOnlyフラグによってセッション関連の機密クッキーが保護されているため、セッションハイジャックのリスクは限定的です。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 16, 2026, midnight |
| Registration Date | April 24, 2026, 11:35 a.m. |
| Last Update | April 24, 2026, 11:35 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| WSO2 |
| WSO2 API Manager 3.2.0 以上 3.2.0.401 未満 |
| WSO2 API Manager 4.0.0 以上 4.0.0.318 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
April 24, 2026, 11:35 a.m. |
| Summary | The authentication endpoint fails to adequately validate user-supplied input before reflecting it back in the response. This allows an attacker to inject malicious script payloads into the input parameters, which are then executed by the victim's browser. Successful exploitation can enable an attacker to redirect the user's browser to a malicious website, modify the UI of the web page, or retrieve information from the browser. However, the impact is limited as session-related sensitive cookies are protected by the httpOnly flag, preventing session hijacking. |
|---|---|
| Publication Date | April 16, 2026, 7:16 p.m. |
| Registration Date | April 17, 2026, 4:12 a.m. |
| Last Update | April 24, 2026, 12:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:wso2:api_manager:*:*:*:*:*:*:*:* | 3.2.0 | 3.2.0.401 | |||
| cpe:2.3:a:wso2:api_manager:*:*:*:*:*:*:*:* | 4.0.0 | 4.0.0.318 | |||