CVE-2024-39315

Versões do Pomerium anteriores à 0.26.1

A página de informações do usuário do Pomerium, localizada no endpoint /.pomerium, incluía inadvertidamente tokens de acesso e de identificação OAuth2 serializados da sessão do usuário conectado. Esses tokens não deveriam ser expostos aos usuários finais. Este problema pode ser mais grave na presença de uma vulnerabilidade de cross-site scripting em um aplicativo upstream proxyado pelo Pomerium. Se um invasor conseguisse inserir um script malicioso em uma página da web proxyada pelo Pomerium, esse script poderia acessar esses tokens fazendo uma solicitação ao endpoint /.pomerium. Aplicativos upstream que autenticam apenas o token de identificação podem estar vulneráveis à falsificação de identidade do usuário usando um token obtido dessa maneira. Observe que um token de acesso OAuth2 ou token de identificação, por si só, não é suficiente para sequestrar a sessão de um usuário no Pomerium. Os aplicativos upstream não devem ser vulneráveis à falsificação de identidade do usuário por meio desses tokens, desde que o aplicativo verifique o JWT do Pomerium para cada solicitação, a conexão entre o Pomerium e o aplicativo seja protegida por mTLS ou a conexão entre o Pomerium e o aplicativo seja protegida de outra forma na camada de rede.

Para resolver o problema, atualize para a versão 0.26.1 ou posterior do Pomerium. Como solução alternativa temporária, considere restringir o acesso ao endpoint /.pomerium para minimizar o risco de exploração. Além disso, certifique-se de que os aplicativos upstream verifiquem o JWT do Pomerium