PT-2026-55464 · Unknown · Kerberos-Io/Agent

Publicado

2026-07-02

·

Atualizado

2026-07-07

·

CVE-2026-50192

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas kerberos-io/agent versões anteriores a 3.6.26
Descrição Existe um problema no caminho de upload do Kerberos Hub onde o agente envia credenciais nos cabeçalhos de requisição personalizados X-Kerberos-Hub-PrivateKey e X-Kerberos-Hub-PublicKey para a URL do Hub configurada pelo operador (config.HubURI). O cliente HTTP utilizado na função UploadKerberosHub() é configurado para seguir redirecionamentos HTTP automaticamente sem uma política CheckRedirect. Embora a biblioteca net/http do Go remova cabeçalhos sensíveis padrão durante redirecionamentos entre hosts (cross-host), ela não remove cabeçalhos personalizados. Consequentemente, se a HubURI configurada retornar um redirecionamento cross-host, a chave privada é encaminhada para o destino do redirecionamento, expondo a credencial a terceiros não autorizados. Isso pode ocorrer por meio de um redirecionamento aberto no host do Hub, uma implantação do Hub comprometida, sequestro de DNS/BGP ou uma URL maliciosa fornecida na configuração do agente. Um invasor que obtenha essas chaves pode personificar o dispositivo e obter acesso não autorizado ao Kerberos Hub.
Recomendações Implementar uma política CheckRedirect no cliente HTTP utilizado em UploadKerberosHub() para remover os cabeçalhos X-Kerberos-Hub-PrivateKey e X-Kerberos-Hub-PublicKey quando o host de destino do redirecionamento for diferente do host da requisição original.

Correção

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50192
GHSA-H5GX-45RJ-2H5J
GO-2026-5890

Produtos afetados

Kerberos-Io/Agent