PT-2020-12797 · Kong · Docker-Kong
P0Pr0Ck5
·
Publicado
2020-04-12
·
Atualizado
2025-04-28
·
CVE-2020-11710
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do docker-kong até a 2.0.3
Descrição
Foi descoberta uma falha em que a porta da API de administração pode ficar acessível em interfaces diferentes de 127.0.0.1. O fornecedor argumenta que isso não constitui uma vulnerabilidade, pois o escopo do bug e os links para os patches estão incorretos, afirmando que a falha só ocorre se um usuário decidir iniciar o Kong via docker-compose sem seguir a documentação de segurança.
Recomendações
Para versões do docker-kong até a 2.0.3, siga a documentação de segurança para proteger a API de administração, especificamente implementando restrições de acesso na camada de rede, conforme documentado aqui: https://docs.konghq.com/2.0.x/secure-admin-api/#network-layer-access-restrictions. Certifique-se de que a porta da API de administração esteja acessível apenas na interface pretendida, como 127.0.0.1.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Docker-Kong