CVE-2020-16844

Опубликовано: 01 окт. 2020

Источник: nvd

CVSS3: 6.8

CVSS2: 4.9

EPSS Низкий

Описание

In Istio 1.5.0 though 1.5.8 and Istio 1.6.0 through 1.6.7, when users specify an AuthorizationPolicy resource with DENY actions using wildcard suffixes (e.g. *-some-suffix) for source principals or namespace fields, callers will never be denied access, bypassing the intended policy.

Ссылки

https://github.com/istio/istio/releases
Vendor Advisory
https://istio.io/latest/news/security/istio-security-2020-009/
Exploit
Mitigation
Vendor Advisory
https://github.com/istio/istio/releases
Vendor Advisory
https://istio.io/latest/news/security/istio-security-2020-009/
Exploit
Mitigation
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:istio:istio:*:*:*:*:*:*:*:*

Версия от 1.5.0 (включая) до 1.5.8 (включая)

cpe:2.3:a:istio:istio:*:*:*:*:*:*:*:*

Версия от 1.6.0 (включая) до 1.6.7 (включая)

EPSS

Процентиль: 51%

0.00284

Низкий

6.8 Medium

CVSS3

4.9 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2020-16844

CVSS3: 6.8

redhat

больше 5 лет назад

GHSA-82mm-ffjr-h86c

CVSS3: 6.8

github

почти 4 года назад

Authorization bypass in Istio

BDU:2021-02092

CVSS3: 6.8

fstec

больше 5 лет назад

Уязвимость сетевого программного средства Istio, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

EPSS

Процентиль: 51%

0.00284

Низкий

6.8 Medium

CVSS3

4.9 Medium

CVSS2

Дефекты

NVD-CWE-noinfo