PT-2024-29341 · Cortex · Cortex
Yuexi Zhang
·
Publicado
2024-08-01
·
Atualizado
2026-01-06
·
CVE-2024-41265
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
cortex versão 0.42.1
Descrição
Um problema na verificação de certificados TLS permite que invasores obtenham informações confidenciais por meio da função
makeOperatorRequest. Isso ocorre porque o cortex estabelece conexões TLS com a variável InsecureSkipVerify definida como true.Recomendações
Para a versão 0.42.1 do cortex, considere desativar a função
makeOperatorRequest até que uma correção esteja disponível e restrinja o uso de InsecureSkipVerify para minimizar o risco de exploração.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cortex