Eclipse EDC:未应用消费者拉取传输令牌验证检查(CVE-2024-8642)

admin 2024-09-13 19:17:07 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Eclipse EDC:未应用消费者拉取传输令牌验证检查(CVE-2024-8642)

CVE编号

CVE-2024-8642

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-11
漏洞描述
在Eclipse Dataspace Components的版本0.5.0至版本0.9.0之前,ConsumerPullTransferTokenValidationApiController没有对令牌的有效性(过期时间、非之前时间、颁发日期)进行检查,这可能导致攻击者绕过令牌过期检查。该问题需要在配置数据平面以支持http代理消费者拉取并包含模块“transfer-data-plane”时才会出现。受影响的代码在版本0.6.0中被弃用,转而支持Dataplane Signaling。在版本0.9.0中,漏洞代码已被移除。
解决建议
"将组件 Eclipse EDC Connector 升级至 0.9.0 及以上版本""将组件 org.eclipse.edc:transfer-data-plane 升级至 0.9.0 及以上版本"
参考链接
https://github.com/eclipse-edc/Connector/commit/04899e91dcdb4a407db4eb7af3e7b...
https://github.com/eclipse-edc/Connector/releases/tag/v0.9.0
https://gitlab.eclipse.org/security/cve-assignement/-/issues/28
https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/234
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0