IBM webMethods API Gateway (локальная версия) с 10.11 по 10.11_Fix3210.15 до 10.15_Fix2711.1 до 11.1_Fix7 IBM webMethods API Management (локальная версия) не может должным образом проверить вводимые пользователем данные, передаваемые в параметр url в конечной точке /createapi . Злоумышленник может изменить этот параметр, чтобы использовать схему URI file:// вместо ожидаемой схемы https://, обеспечивая несанкционированный доступ для чтения произвольных файлов в базовой файловой системе сервера.
Показать оригинальное описание (EN)
IBM webMethods API Gateway (on-prem) 10.11 through 10.11_Fix3210.15 to 10.15_Fix2711.1 to 11.1_Fix7 IBM webMethods API Management (on-prem) fails to properly validate user-supplied input passed to the url parameter on the /createapi endpoint. An attacker can modify this parameter to use a file:// URI schema instead of the expected https:// schema, enabling unauthorized arbitrary file read access on the underlying server file system.
Характеристики атаки
Последствия
Строка CVSS v3.1