CVE-2024-4536 in EDC
الملخص
بحسب VulDB • 15/05/2026
في مكونات مساحة بيانات إكلبس (Eclipse Dataspace Components) بدءاً من الإصدار 0.2.1 وحتى 0.6.2، في مكون موصل EDC (EDC Connector) (https://github.com/eclipse-edc/Connector)، قد يتمكن المهاجم من الحصول على أسرار عميل OAuth2 من خزان الأسرار (vault).
في مكونات مساحة بيانات إكلبس (Eclipse Dataspace Components) بدءاً من الإصدار 0.2.1 وحتى 0.6.2، حددنا ثغرة أمنية في مكون موصل EDC (EDC Connector) (https://github.com/eclipse-edc/Connector) تتعلق بميزة مصرف البيانات المحمي بـ OAuth2. عند استخدام مصرف بيانات مخصص محمي بـ OAuth2، يتم حل خصائص عنوان البيانات الخاصة بـ OAuth2 بواسطة مستوى بيانات المزود (provider data plane). والمشكلة تكمن في أن خاصية عنوان البيانات clientSecretKey التي يوفرها المستهلك، والتي تشير إلى سر عميل OAuth2 الذي يجب استرداده من خزان الأسرار، يتم حلها في سياق خزان المزود وليس خزان المستهلك. ثم يتم إرسال قيمة هذا السر إلى عنوان url tokenUrl، الذي يتحكم فيه أيضاً المستهلك، كجزء من منح اعتمادات عميل OAuth2 (OAuth2 client credentials grant). بعد ذلك، يتم إرسال رمز الوصول المسترد كرمز حامل (bearer token) إلى عنوان url مصرف البيانات.
تم تعطيل هذه الميزة بالكامل الآن، لأن جميع مسارات الكود اللازمة للتنفيذ الناجح لم تكن مُنفذة بشكل كامل.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.