Múltiples Apps i serveis de banca i salut en perill degut a una nova vulnerabilitat amb un CVSS Score de 10/10 recentment publicada que afecta diversos productes de l’empresa WSO2.

WSO2 és una mundialment coneguda empresa dedicada a desenvolupar aplicacions open source dirigides. sobretot. als sectors de finances, salut, educació i IoT, entre altres. Entre els seus clients es troben marques i institucions de renom com American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importants serveis com a Transports de Londres o el Departament d’Aigües i Energia de Los Angeles, entre altres.

Entre els seus serveis més estesos estan «WSO2 API Manager», «WSO2 Identity Server», «WSO2 Enterprise Integrator» i «WSO2 Open Banking», tots ells afectats per la vulnerabilitat reportada el passat 18 d’abril amb un CVSS Score de 10 sobre 10, el més alt en l’escala i identificada com CVE-2022-29464.

Aquesta vulnerabilitat és d’extrema gravetat, ja que permet ser duta a terme per qualsevol, sense necessitat d’escalar privilegis ni tenir coneixements tècnics avançats. Les versions afectades dels productes de WSO2 permeten la càrrega d’arxius sense restriccions fent possible així l’execució de codi remot.