PT-2020-15041 · Istio · Istio

Publicado

2020-04-27

·

Atualizado

2024-08-21

·

CVE-2020-1762

CVSS v3.1

8.6

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Nome do software vulnerável e versões afetadas
Versões do Kiali de 0.4.0 a 1.15.0
Descrição
O problema está relacionado à validação insuficiente de JWT, permitindo que um invasor remoto roube um cookie JWT válido e o utilize para falsificar uma sessão de usuário. Isso poderia potencialmente conceder privilégios para visualizar e alterar a configuração do Istio.
Recomendações
Para as versões do Kiali 0.4.0 a 1.15.0, atualize para a versão 1.15.1 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais da configuração do Istio para minimizar o risco de exploração.

Correção

Session Fixation

Improper Certificate Validation

Insufficient Session Expiration

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-384CWE-295CWE-613

Identificadores relacionados

CVE-2020-1762
GHSA-465W-GG5P-85C9
GO-2022-0626
RHSA-2020:0972

Produtos afetados

Istio