PT-2021-19596 · Istio · Istio

John Howard

·

Publicado

2021-06-02

·

Atualizado

2022-05-01

·

CVE-2021-31921

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões do Istio 1.8.0 a 1.8.6
Versões do Istio 1.9.0 a 1.9.5
Descrição:
A vulnerabilidade permite que um cliente externo acesse serviços inesperados no cluster, contornando as verificações de autorização, quando um gateway é configurado com a configuração de roteamento AUTO PASSTHROUGH. Isso pode ser explorado remotamente.
Recomendações:
Para as versões do Istio 1.8.0 a 1.8.6, atualize para a versão 1.8.6 ou posterior.
Para as versões 1.9.0 a 1.9.5 do Istio, atualize para a versão 1.9.5 ou posterior.
Como solução alternativa temporária, considere alterar a configuração de roteamento do gateway de AUTO PASSTHROUGH para uma configuração mais restritiva, a fim de minimizar o risco de exploração.

Exploit

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862

Identificadores relacionados

CVE-2021-31921
RHSA-2021:2061
RHSA-2021:2085

Produtos afetados

Istio