漏洞标题
Dapr API 密钥暴露
漏洞描述信息
Dapr 是一个跨云和边缘构建分布式应用的可移植、事件驱动的运行时。Dapr 使用调用应用的 app token 而非被调用应用的 app token。这在使用 Dapr 作为远程服务调用的 gRPC 代理时会导致调用应用的 app token 泄露给被调用应用。此漏洞影响使用 Dapr 作为远程服务调用的 gRPC 代理的 Dapr 用户以及 Dapr App API token 功能的用户。攻击者可通过利用此漏洞获取调用应用的 app token,从而可能破坏安全性与认证机制。此漏洞已在版本 1.13.3 中被修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Dapr API Token Exposure
漏洞描述信息
Dapr is a portable, event-driven, runtime for building distributed applications across cloud and edge. Dapr sends the app token of the invoker app instead of the app token of the invoked app. This causes of a leak of the application token of the invoker app to the invoked app when using Dapr as a gRPC proxy for remote service invocation. This vulnerability impacts Dapr users who use Dapr as a gRPC proxy for remote service invocation as well as the Dapr App API token functionality. An attacker could exploit this vulnerability to gain access to the app token of the invoker app, potentially compromising security and authentication mechanisms. This vulnerability was patched in version 1.13.3.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Dapr 安全漏洞
漏洞描述信息
Dapr是Dapr开源的一个可移植、无服务器、事件驱动的运行时。 Dapr存在安全漏洞,该漏洞源于当使用Dapr作为远程服务调用的gRPC代理时,应用程序令牌会遭到泄露。受影响的产品和版本:Dapr 1.13.0版本,1.13.1版本,1.13.2版本。
CVSS信息
N/A
漏洞类别
其他