PT-2025-33310 · Amazon · Amazon Ecs Agent
Mye956
·
Publicado
2025-08-14
·
Atualizado
2025-09-10
·
CVE-2025-9039
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
Versões do agente Amazon ECS de 0.0.3 a 1.97.0
Descrição:
Foi identificado um problema no agente Amazon ECS onde, sob certas condições, um servidor de introspecção poderia ser acessado de fora do host por outra instância, caso as instâncias estejam no mesmo grupo de segurança ou se seus grupos de segurança permitirem conexões de entrada que incluam a porta na qual o servidor está hospedado. Este problema não afeta instâncias nas quais a opção para permitir acesso de fora do host ao servidor de introspecção está definida como 'false'. O componente afetado é a API de introspecção.
Recomendações:
Versão do agente Amazon ECS 0.0.3: Atualize para a versão 1.97.1 ou posterior.
Versões do agente Amazon ECS 1.97.0: Atualize para a versão 1.97.1 ou posterior.
Para instâncias que não podem ser atualizadas, modifique os grupos de segurança do Amazon EC2 para restringir o acesso de entrada à porta do servidor de introspecção (51678).
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Amazon Ecs Agent