PT-2021-13870 · Kiali · Kiali
Mark Cooper
·
Publicado
2021-05-28
·
Atualizado
2024-08-21
·
CVE-2021-20278
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Kiali anteriores à 1.31.0
Descrição:
Foi detectada uma falha que permite contornar a autenticação quando se utiliza a estratégia de autenticação
OpenID. O problema surge quando o Kiali presume que a validação de tokens é realizada pelo cluster subjacente com o RBAC ativado, mas essa validação não ocorre quando o fluxo implícito do OpenID é utilizado com o RBAC desativado. Isso permite que um usuário mal-intencionado contorne a autenticação.Recomendações:
Para versões anteriores à 1.31.0, atualize para a versão 1.31.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a estratégia de autenticação
OpenID ou habilitar o RBAC para impedir a exploração. Restrinja o acesso ao fluxo implícito ao usar a estratégia de autenticação OpenID para minimizar o risco de exploração.Correção
Authentication Bypass by Spoofing
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kiali