PT-2024-5369 · Skupper · Skupper
Robb Gatica
·
Publicado
2024-07-05
·
Atualizado
2024-09-18
·
CVE-2024-6535
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Skupper (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha no Skupper que pode permitir que um invasor contorne a autenticação no console do Skupper por meio de um cookie especialmente criado. Esse problema ocorre quando o Skupper é inicializado com a opção console-enabled ativada e com console-auth definido como Openshift, configurando o openshift oauth-proxy com um cookie-secret estático. A vulnerabilidade está relacionada ao uso de credenciais padrão em determinadas circunstâncias.
Recomendações
Como solução temporária, considere desativar a configuração console-auth definida como Openshift até que um patch esteja disponível.
Restrinja o acesso ao console do Skupper para minimizar o risco de exploração.
Evite usar o cookie-secret estático na configuração do openshift oauth-proxy até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Skupper