PT-2026-55464 · Unknown · Kerberos-Io/Agent
Publicado
2026-07-02
·
Atualizado
2026-07-07
·
CVE-2026-50192
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
kerberos-io/agent versões anteriores a 3.6.26
Descrição
Existe um problema no caminho de upload do Kerberos Hub onde o agente envia credenciais nos cabeçalhos de requisição personalizados
X-Kerberos-Hub-PrivateKey e X-Kerberos-Hub-PublicKey para a URL do Hub configurada pelo operador (config.HubURI). O cliente HTTP utilizado na função UploadKerberosHub() é configurado para seguir redirecionamentos HTTP automaticamente sem uma política CheckRedirect. Embora a biblioteca net/http do Go remova cabeçalhos sensíveis padrão durante redirecionamentos entre hosts (cross-host), ela não remove cabeçalhos personalizados. Consequentemente, se a HubURI configurada retornar um redirecionamento cross-host, a chave privada é encaminhada para o destino do redirecionamento, expondo a credencial a terceiros não autorizados. Isso pode ocorrer por meio de um redirecionamento aberto no host do Hub, uma implantação do Hub comprometida, sequestro de DNS/BGP ou uma URL maliciosa fornecida na configuração do agente. Um invasor que obtenha essas chaves pode personificar o dispositivo e obter acesso não autorizado ao Kerberos Hub.Recomendações
Implementar uma política
CheckRedirect no cliente HTTP utilizado em UploadKerberosHub() para remover os cabeçalhos X-Kerberos-Hub-PrivateKey e X-Kerberos-Hub-PublicKey quando o host de destino do redirecionamento for diferente do host da requisição original.Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kerberos-Io/Agent