Múltiples Apps y servicios de banca y salud en peligro debido a una nueva vulnerabilidad con un CVSS Score de 10/10 recientemente publicada que afecta a varios productos de la empresa WSO2.
WSO2 es una mundialmente conocida empresa dedicada a desarrollar aplicaciones open source dirigidas. sobre todo. a los sectores de finanzas, salud, educación e IoT, entre otros. Entre sus clientes se encuentran marcas e instituciones de renombre como American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importantes servicios como Transportes de Londres o el Departamento de Aguas y Energía de Los Ángeles, entre otros.
Entre sus servicios más extendidos están «WSO2 API Manager», «WSO2 Identity Server», «WSO2 Enterprise Integrator» y «WSO2 Open Banking», todos ellos afectados por la vulnerabilidad reportada el pasado 18 de abril con un CVSS Score de 10 sobre 10, el más alto en la escala e identificada como CVE-2022-29464.
Dicha vulnerabilidad es de extrema gravedad, ya que permite ser llevada a cabo por cualquiera, sin necesidad de escalar privilegios ni tener conocimientos técnicos avanzados. Las versiones afectadas de
los productos de WSO2 permiten la carga de archivos sin restricciones haciendo posible así la ejecución de código remoto.
Se desconoce si ha sido o está siendo explotada activamente, pero teniendo en cuenta que uno de losservicios afectados, como es el «WSO2 API Manager», gestiona actualmente más de 200.000 APIs de diferentes verticales de la industria y más de 50.000 millones de transacciones diarias, podría suponer unproblema bastante serio.
Por suerte ya ha sido identificada y reportada, por lo que se espera que los afectados hayan realizado ya las pertinentes actualizaciones para corregir dicha vulnerabilidad.
En GitHub está disponible el writeup junto con el exploit y la PoC de esta vulnerabilidad, descubierta ypublicada por el hacker taiwanés «Orange Tsai» que alertó a WSO2, siguiendo las normas del hacking ético.