Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-35941

Опубликовано: 25 июл. 2023
Источник: nvd
CVSS3: 8.6
CVSS3: 9.8
EPSS Низкий

Описание

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, a malicious client is able to construct credentials with permanent validity in some specific scenarios. This is caused by the some rare scenarios in which HMAC payload can be always valid in OAuth2 filter's check. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, avoid wildcards/prefix domain wildcards in the host's domain configuration.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
Версия от 1.23.0 (включая) до 1.23.12 (исключая)
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
Версия от 1.24.0 (включая) до 1.24.10 (исключая)
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
Версия от 1.25.0 (включая) до 1.25.9 (исключая)
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
Версия от 1.26.0 (включая) до 1.26.4 (исключая)

EPSS

Процентиль: 12%
0.00042
Низкий

8.6 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-116

Связанные уязвимости

redhat логотип

CVE-2023-35941

CVSS3: 8.6
redhat
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12, a malicious client is able to construct credentials with permanent validity in some specific scenarios. This is caused by the some rare scenarios in which HMAC payload can be always valid in OAuth2 filter's check. Versions 1.27.0, 1.26.4, 1.25.9, 1.24.10, and 1.23.12 have a fix for this issue. As a workaround, avoid wildcards/prefix domain wildcards in the host's domain configuration.

debian логотип

CVE-2023-35941

CVSS3: 8.6
debian
около 2 лет назад

Envoy is an open source edge and service proxy designed for cloud-nati ...

fstec логотип

BDU:2023-04199

CVSS3: 8.6
fstec
около 2 лет назад

Уязвимость прокси-сервера Envoy, связанная с недостатком механизма кодирования или экранирования выходных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

oracle-oval логотип

ELSA-2023-12781

oracle-oval
около 2 лет назад

ELSA-2023-12781: istio security update (IMPORTANT)

oracle-oval логотип

ELSA-2023-12780

oracle-oval
около 2 лет назад

ELSA-2023-12780: istio security update (IMPORTANT)

EPSS

Процентиль: 12%
0.00042
Низкий

8.6 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-116