CVE-2024-4536 in EDCالمعلومات

الملخص

بحسب VulDB • 15/05/2026

في مكونات مساحة بيانات إكلبس (Eclipse Dataspace Components) بدءاً من الإصدار 0.2.1 وحتى 0.6.2، في مكون موصل EDC (EDC Connector) (https://github.com/eclipse-edc/Connector)، قد يتمكن المهاجم من الحصول على أسرار عميل OAuth2 من خزان الأسرار (vault).

في مكونات مساحة بيانات إكلبس (Eclipse Dataspace Components) بدءاً من الإصدار 0.2.1 وحتى 0.6.2، حددنا ثغرة أمنية في مكون موصل EDC (EDC Connector) (https://github.com/eclipse-edc/Connector) تتعلق بميزة مصرف البيانات المحمي بـ OAuth2. عند استخدام مصرف بيانات مخصص محمي بـ OAuth2، يتم حل خصائص عنوان البيانات الخاصة بـ OAuth2 بواسطة مستوى بيانات المزود (provider data plane). والمشكلة تكمن في أن خاصية عنوان البيانات clientSecretKey التي يوفرها المستهلك، والتي تشير إلى سر عميل OAuth2 الذي يجب استرداده من خزان الأسرار، يتم حلها في سياق خزان المزود وليس خزان المستهلك. ثم يتم إرسال قيمة هذا السر إلى عنوان url tokenUrl، الذي يتحكم فيه أيضاً المستهلك، كجزء من منح اعتمادات عميل OAuth2 (OAuth2 client credentials grant). بعد ذلك، يتم إرسال رمز الوصول المسترد كرمز حامل (bearer token) إلى عنوان url مصرف البيانات.

تم تعطيل هذه الميزة بالكامل الآن، لأن جميع مسارات الكود اللازمة للتنفيذ الناجح لم تكن مُنفذة بشكل كامل.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

حجز

06/05/2024

إفشاء

07/05/2024

الاعتدال

تمت الموافقة

إدخال

VDB-263349

EPSS

0.00411

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!