PT-2022-3231 · Unknown · Edgexfoundry
Eb-Oss
·
Publicado
2022-06-14
·
Atualizado
2024-08-21
·
CVE-2022-31066
CVSS v3.1
5.9
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do EdgeXFoundry anteriores à 2.1.1
Descrição
O endpoint
/api/v2/config expõe as credenciais do barramento de mensagens a usuários locais não autenticados, contornando os controles de acesso às credenciais do barramento de mensagens quando executado no modo de segurança ativado. Isso permite que invasores interceptem dados ou injetem dados falsos no barramento de mensagens do EdgeX.Recomendações
Para versões do EdgeXFoundry anteriores à 2.1.1, atualize para a versão Kamakura do EdgeXFoundry (2.2.0) ou para a versão LTS Jakarta do EdgeXFoundry de junho de 2022 (2.1.1) para receber um patch.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
/api/v2/config até que um patch esteja disponível.Para módulos Go específicos, contêineres Docker e snaps, consulte o Alerta de Segurança do GitHub para obter informações sobre o patch.
Exploit
Correção
Improper Access Control
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Edgexfoundry