In der Identity-Management-Software WSO2 wurden einige Sicherheitslücken gefunden, die vermeintlich geschützte Netze gefährden.
Security-Experten von SEC Consult haben im Identity-Server WSO2 drei Sicherheitslücken gefunden . Per Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) können Anwender Administratoren-Sessions des Servers übernehmen und unter Umständen lokale Files lesen. Eine weitere Lücke, die als XML External Entity Injection (XXE) klassifiziert wird, erlaubt es vermutlich sogar, einen Firewallschutz zu unterlaufen.
Die Entwickler, des auch unter einer freien Lizenz verfügbaren WSO2-Servers, wurden von SEC Consult vorab informiert und stellen Updates für die Software bereit, deren Anwendung dringend empfohlen wird. Die Security-Experten vermuten, dass in dem von WSO2 verwendeten Framework Carbon noch weitere Fehler stecken und raten deshalb von dessen Einsatz ab.
Der Testleitfaden zur Absicherung von Web-Servern und -Anwendungen liegt in einer überarbeiteten Version vor.