Eclipse EDC:未应用消费者拉取传输令牌验证检查(CVE-2024-8642)
CVE编号
CVE-2024-8642利用情况
暂无补丁情况
N/A披露时间
2024-09-11漏洞描述
在Eclipse Dataspace Components的版本0.5.0至版本0.9.0之前,ConsumerPullTransferTokenValidationApiController没有对令牌的有效性(过期时间、非之前时间、颁发日期)进行检查,这可能导致攻击者绕过令牌过期检查。该问题需要在配置数据平面以支持http代理消费者拉取并包含模块“transfer-data-plane”时才会出现。受影响的代码在版本0.6.0中被弃用,转而支持Dataplane Signaling。在版本0.9.0中,漏洞代码已被移除。解决建议
"将组件 Eclipse EDC Connector 升级至 0.9.0 及以上版本""将组件 org.eclipse.edc:transfer-data-plane 升级至 0.9.0 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论