PT-2024-31788 · Envoy · Envoy
Howardjohn
·
Publicado
2024-09-19
·
Atualizado
2026-01-06
·
CVE-2024-45808
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Envoy anteriores à 1.28.7
Versões do Envoy anteriores à 1.29.9
Versões do Envoy anteriores à 1.30.6
Versões do Envoy anteriores à 1.31.2
Descrição:
Foi identificada uma vulnerabilidade no Envoy que permite que invasores mal-intencionados injetem conteúdo inesperado nos logs de acesso. Isso é feito explorando a falta de validação do campo
REQUESTED SERVER NAME nos registradores de logs de acesso.Recomendações:
Para versões anteriores à 1.28.7, atualize para a versão 1.28.7 ou posterior.
Para versões anteriores à 1.29.9, atualize para a versão 1.29.9 ou posterior.
Para versões anteriores à 1.30.6, atualize para a versão 1.30.6 ou posterior.
Para versões anteriores à 1.31.2, atualize para a versão 1.31.2 ou posterior.
Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Envoy