CVE-ID: CVE-2022-29464 -安全咨询WSO2-2021-1738

Question

我们观察到自4月份以来在野外使用的漏洞CVE-2022-29464，允许不受限制的文件上载导致从这里中发现任意远程代码执行(RCE)。

这会影响到WSO2 API Manager 2.2.0及以上版本、Identity Server 5.2.0及以上版本、Identity Server Analytics 5.4.0至5.6.0、Identity Server作为密钥管理器5.3.0及以上版本、OpenBankingAM1.4.0及以上版本以及EnterpriseIntegrator6.2.0及以上版本。

我们使用的是WSO2 EI产品V6.4.0/6.5.0。

我也看过安全顾问WSO2-2021-1738指南。

我们没有支持订阅，所以我计划删除<product_home>/conf/carbon.xml中的<product_home>/conf/carbon.xml映射，就像在同一个WSO2安全顾问页面中建议的那样。

这一缓解措施是否足够，还是我们需要更多地集中精力于此？

Answer 1

根据建议，禁用文件上传服务似乎不是一个完整的解决方案。如果您查看已实现的修复程序，它也会进行代码级别的更改。

1- https://github.com/wso2/carbon-kernel/pull/3152/files