Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04196

Опубликовано: 26 июл. 2023
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость прокси-сервера Envoy связана c ошибками в обработке схем смешанного регистра (mixed-case) в HTTP/2. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемым данным

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

до 1.27.0 (Envoy)
от 1.26.0 до 1.26.4 (Envoy)
от 1.25.0 до 1.25.9 (Envoy)
от 1.24.0 до 1.24.10 (Envoy)
от 1.23.0 до 1.23.12 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/envoyproxy/envoy/security/advisories/GHSA-pvgm-7jpg-pw5g

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00008
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-35944

CVSS3: 8.2
redhat
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Envoy allows mixed-case schemes in HTTP/2, however, some internal scheme checks are case-sensitive. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, this can lead to the rejection of requests with mixed-case schemes such as `htTp` or `htTps`, or the bypassing of some requests such as `https` in unencrypted connections. With a fix in versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, Envoy will now lowercase scheme values by default, and change the internal scheme checks that were case-sensitive to be case-insensitive. There are no known workarounds for this issue.

nvd логотип

CVE-2023-35944

CVSS3: 8.2
nvd
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Envoy allows mixed-case schemes in HTTP/2, however, some internal scheme checks are case-sensitive. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, this can lead to the rejection of requests with mixed-case schemes such as `htTp` or `htTps`, or the bypassing of some requests such as `https` in unencrypted connections. With a fix in versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, Envoy will now lowercase scheme values by default, and change the internal scheme checks that were case-sensitive to be case-insensitive. There are no known workarounds for this issue.

debian логотип

CVE-2023-35944

CVSS3: 8.2
debian
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-nati ...

oracle-oval логотип

ELSA-2023-12781

oracle-oval
около 2 лет назад

ELSA-2023-12781: istio security update (IMPORTANT)

oracle-oval логотип

ELSA-2023-12780

oracle-oval
около 2 лет назад

ELSA-2023-12780: istio security update (IMPORTANT)

EPSS

Процентиль: 0%
0.00008
Низкий

8.2 High

CVSS3

8.5 High

CVSS2