CVE-2022-41925

Versões do cliente Tailscale anteriores à v1.32.3

Uma vulnerabilidade no cliente Tailscale permite que um site malicioso acesse a API peer, que pode então ser usada para acessar variáveis de ambiente do Tailscale. A API do peer era vulnerável a rebinding de DNS, permitindo que um site controlado por um invasor redirecionasse o DNS da API do peer para um servidor DNS controlado por ele e fizesse solicitações à API do peer no cliente. Esse acesso pode ser usado para ler as variáveis de ambiente do nó, incluindo quaisquer credenciais ou segredos armazenados nessas variáveis, como chaves de autenticação do Tailscale. O acesso à API do peer também poderia ser usado para identificar outros nós na rede tailnet ou enviar arquivos via Taildrop. Não há evidências de que essa vulnerabilidade tenha sido acionada ou explorada propositalmente.

Atualize para a versão v1.32.3 ou posterior para corrigir o problema. Como solução temporária, considere restringir o acesso à API peer até que um patch esteja disponível. Evite usar o cliente Tailscale até que o problema seja resolvido. Se você tiver alguma dúvida ou comentário sobre este aviso, entre em contato com o suporte da Tailscale.