PT-2024-16338 · Unknown+1 · Boundary Enterprise+1
Publicado
2024-02-05
·
Atualizado
2024-06-28
·
CVE-2024-1052
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Boundary e Boundary Enterprise (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite o sequestro de sessão por meio da adulteração de certificados TLS. Um invasor com privilégios para enumerar sessões ativas ou pendentes, obter uma chave privada pertencente a uma sessão e obter um token TOFU (Trust on First Use) válido pode criar um certificado TLS para sequestrar uma sessão ativa e obter acesso ao serviço ou aplicativo subjacente.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Boundary
Boundary Enterprise