CVE-2022-40716

Опубликовано: 23 сент. 2022

Источник: redhat

CVSS3: 6.5

Описание

HashiCorp Consul and Consul Enterprise up to 1.11.8, 1.12.4, and 1.13.1 do not check for multiple SAN URI values in a CSR on the internal RPC endpoint, enabling leverage of privileged access to bypass service mesh intentions. Fixed in 1.11.9, 1.12.5, and 1.13.2."

A flaw was found in the HashiCorp Consul package. In the affected versions of this package, a specially crafted CSR sent directly to Consul’s internal server agent RPC endpoint can include multiple SAN URI values with additional service names.

Затронутые пакеты

Платформа	Пакет	Состояние
Logging Subsystem for Red Hat OpenShift	openshift-logging/logging-loki-rhel8	Not affected
Red Hat Advanced Cluster Management for Kubernetes 2	rhacm2/acm-grafana-rhel8	Will not fix
Red Hat OpenShift Container Platform 4	openshift4/ose-grafana	Affected
Red Hat OpenShift Container Platform 4	openshift4/topology-aware-lifecycle-manager-rhel8-operator	Affected
Red Hat Openshift Data Foundation 4	odf4/odf-multicluster-rhel9-operator	Affected
Red Hat Openshift Data Foundation 4	odf4/odr-rhel8-operator	Affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-252

https://bugzilla.redhat.com/show_bug.cgi?id=2156860consul: Consul Service Mesh Intention Bypass with Malicious Certificate Signing Request

6.5 Medium

CVSS3

Связанные уязвимости

CVE-2022-40716

CVSS3: 6.5

ubuntu

больше 3 лет назад

CVE-2022-40716

CVSS3: 6.5

nvd

больше 3 лет назад

CVE-2022-40716

CVSS3: 6.5

debian

больше 3 лет назад

HashiCorp Consul and Consul Enterprise up to 1.11.8, 1.12.4, and 1.13. ...

GHSA-m69r-9g56-7mv8

CVSS3: 6.5

github

больше 3 лет назад

HashiCorp Consul vulnerable to authorization bypass

BDU:2025-08591

CVSS3: 6.5

fstec

больше 3 лет назад

Уязвимость инструмента настройки сервисов Consul и Consul Enterprise, связанная с непроверенным возвращенным значением, позволяющая нарушителю обойти внедренные ограничения безопасности

6.5 Medium

CVSS3