漏洞标题
当部署了代理协议过滤器,并设置了无效的 UTF-8 元数据时,Envoy 传递外部认证功能可以绕过。
漏洞描述信息
Envoy 是一个高性能边缘/中间/服务代理。下游连接可以绕过外部认证。下游客户端可以强制发送无效的 gRPC 请求到 ext_authz,从而在 failure_mode_allow 设置为 true 时绕过 ext_authz 检查。此问题已在发布的 1.29.1、1.28.1、1.27.3 和 1.26.7 版本中得到解决。建议用户升级。对于这个漏洞,目前没有已知的缓解措施。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
Envoy ext auth can be bypassed when Proxy protocol filter sets invalid UTF-8 metadata
漏洞描述信息
Envoy is a high-performance edge/middle/service proxy. External authentication can be bypassed by downstream connections. Downstream clients can force invalid gRPC requests to be sent to ext_authz, circumventing ext_authz checks when failure_mode_allow is set to true. This issue has been addressed in released 1.29.1, 1.28.1, 1.27.3, and 1.26.7. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
漏洞类别
输入验证不恰当
漏洞标题
Envoy 安全漏洞
漏洞描述信息
Envoy是一款开源的分布式代理服务器。 Envoy 1.29.1之前版本存在安全漏洞,该漏洞源于使用 PROXY协议的下游连接可以绕过外部身份验证。
CVSS信息
N/A
漏洞类别
其他