Cross-Site Request Forgery (CSRF) in WSO2 Enterprise Integrator 6.6.0 Management Console Due to Missing CSRF Token Validation 漏洞信息(CVE-2024-0392)

一、漏洞 CVE-2024-0392 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

WSO2 Enterprise Integrator 6.6.0管理控制台因缺少CSRF令牌验证导致跨站请求伪造（CSRF）漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在WSO2企业集成器6.6.0的管理控制台中存在跨站请求伪造（CSRF）漏洞，原因是缺少CSRF令牌验证。此漏洞允许攻击者构造恶意请求，代表已认证用户执行改变状态的操作，从而可能破坏账户设置和数据完整性。该漏洞仅影响有限的改变状态的操作，并且成功利用此漏洞需要通过社会工程手段诱使具有访问管理控制台权限的用户执行恶意操作。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

跨站请求伪造(CSRF)

来源：AIGC 神龙大模型

漏洞标题

Cross-Site Request Forgery (CSRF) in WSO2 Enterprise Integrator 6.6.0 Management Console Due to Missing CSRF Token Validation

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A Cross-Site Request Forgery (CSRF) vulnerability exists in the management console of WSO2 Enterprise Integrator 6.6.0 due to the absence of CSRF token validation. This flaw allows attackers to craft malicious requests that can trigger state-changing operations on behalf of an authenticated user, potentially compromising account settings and data integrity. The vulnerability only affects a limited set of state-changing operations, and successful exploitation requires social engineering to trick a user with access to the management console into performing the malicious action.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

跨站请求伪造(CSRF)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-0392 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-0392 的情报信息

标题： Security Advisory CVE-2024-0392/WSO2-2023-2987 -- 🔗来源链接

标签： vendor-advisory
https://nvd.nist.gov/vuln/detail/CVE-2024-0392

一、 漏洞 CVE-2024-0392 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-0392 的公开POC

三、漏洞 CVE-2024-0392 的情报信息

一、漏洞 CVE-2024-0392 基础信息