PT-2022-20561 · Unknown · Flyteadmin
Mayitbeegh
·
Publicado
2022-07-13
·
Atualizado
2022-07-30
·
CVE-2022-31145
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
FlyteAdmin versões 1.1.30 e anteriores
Descrição
O problema diz respeito à validação incorreta de tokens de acesso, permitindo que usuários autenticados que utilizam um provedor de identidade externo continuem usando tokens de acesso e tokens de identificação mesmo após o vencimento dos mesmos. Os usuários que utilizam o FlyteAdmin como servidor de autorização OAuth2 não são afetados por este problema.
Recomendações
Para as versões 1.1.30 e anteriores do FlyteAdmin, como solução temporária, considere alternar as chaves de assinatura imediatamente para invalidar todas as sessões abertas e forçar todos os usuários a tentar obter novos tokens. Continue alternando as chaves até que o FlyteAdmin seja atualizado. Além disso, oculte a URL de entrada da implantação do FlyteAdmin da internet. Assim que um patch estiver disponível, atualize para a versão corrigida no ramo
master do repositório.Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Flyteadmin