CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCoreinfo

Zusammenfassung

von VulDB • 17.05.2026

Das Repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature enthält Middleware, die in Verbindung mit der OpenId Connect-Integration des Application Load Balancer (ALB) verwendet werden kann und in jedem ASP.NET http://asp.net/ Core-Bereitstellungsszenario eingesetzt werden kann, einschließlich Fargate, EKS, ECS, EC2 und Lambda. Im Code zur JWT-Verarbeitung wird zwar die Signatur validiert, jedoch wird die JWT-Aussteller- und Signaturidentität nicht überprüft. Das Auslassen der Signaturprüfung kann, kombiniert mit einem Szenario, in dem der Infrastrukturbesitzer den Internetverkehr zu den ALB-Zielen zulässt (keine empfohlene Konfiguration), dazu führen, dass JWTs von einer nicht vertrauenswürdigen Entität signiert werden, und ein Angreifer könnte in der Lage sein, gültige OIDC-föderierte Sitzungen für die ALB-Ziele zu imitieren.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

AMZN

Reservieren

18.10.2024

Veröffentlichung

22.10.2024

Moderieren

akzeptiert

Eintrag

VDB-281461

CPE

bereit

EPSS

0.00319

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!