Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04199

Опубликовано: 26 июл. 2023
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Низкий

Описание

Уязвимость прокси-сервера Envoy связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Envoy

Версия ПО

до 1.27.0 (Envoy)
от 1.26.0 до 1.26.4 (Envoy)
от 1.25.0 до 1.25.9 (Envoy)
от 1.24.0 до 1.24.10 (Envoy)
от 1.23.0 до 1.23.12 (Envoy)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/envoyproxy/envoy/security/advisories/GHSA-7mhv-gr67-hq55

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.0005
Низкий

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-35941

CVSS3: 8.6
redhat
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, a malicious client is able to construct credentials with permanent validity in some specific scenarios. This is caused by the some rare scenarios in which HMAC payload can be always valid in OAuth2 filter's check. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, avoid wildcards/prefix domain wildcards in the host's domain configuration.

nvd логотип

CVE-2023-35941

CVSS3: 8.6
nvd
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, a malicious client is able to construct credentials with permanent validity in some specific scenarios. This is caused by the some rare scenarios in which HMAC payload can be always valid in OAuth2 filter's check. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, avoid wildcards/prefix domain wildcards in the host's domain configuration.

debian логотип

CVE-2023-35941

CVSS3: 8.6
debian
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-nati ...

oracle-oval логотип

ELSA-2023-12781

oracle-oval
около 2 лет назад

ELSA-2023-12781: istio security update (IMPORTANT)

oracle-oval логотип

ELSA-2023-12780

oracle-oval
около 2 лет назад

ELSA-2023-12780: istio security update (IMPORTANT)

EPSS

Процентиль: 15%
0.0005
Низкий

8.6 High

CVSS3

9 Critical

CVSS2