One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8359916 |
| Date de publication | 2023-07-21 21:15:11 (vue: 2023-07-21 23:06:49) |
| Titre | CVE-2023-37918 |
| Texte | Le DAPR est un runtime portable et motivé par des événements pour la construction d'applications distribuées à travers le cloud et le bord.Une vulnérabilité a été trouvée dans DAPR qui permet de contourner l'authentification des jetons API, qui est utilisé par le DAPR Sidecar pour authentifier les appels provenant de l'application, avec une demande HTTP bien conçue.Les utilisateurs qui tirent parti de l'authentification des jetons API sont encouragés à mettre à niveau le DAPR à 1.10.9 ou à 1.11.2.Cette vulnérabilité a un impact sur les utilisateurs DAPR qui ont configuré l'authentification des jetons API.Un attaquant pourrait élaborer une demande qui est toujours autorisée par le DAPR Sidecar sur HTTP, même si le `DAPR-API-TOKING 'dans la demande n'est pas valide ou manquant.Le problème a été résolu dans DAPR 1.10.9 ou à 1.11.2.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Dapr is a portable, event-driven, runtime for building distributed applications across cloud and edge. A vulnerability has been found in Dapr that allows bypassing API token authentication, which is used by the Dapr sidecar to authenticate calls coming from the application, with a well-crafted HTTP request. Users who leverage API token authentication are encouraged to upgrade Dapr to 1.10.9 or to 1.11.2. This vulnerability impacts Dapr users who have configured API token authentication. An attacker could craft a request that is always allowed by the Dapr sidecar over HTTP, even if the `dapr-api-token` in the request is invalid or missing. The issue has been fixed in Dapr 1.10.9 or to 1.11.2. There are no known workarounds for this vulnerability. |
| Envoyé | Oui |
| Condensat | 2023 37918 `dapr across allowed allows always api application applications are attacker authenticate authentication been building bypassing calls cloud coming configured could craft crafted cve dapr distributed driven edge encouraged even event fixed found from has have http impacts invalid issue known leverage missing over portable request runtime sidecar token token` upgrade used users vulnerability well which who workarounds |
| Tags | Vulnerability Cloud |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.