CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCore
Zusammenfassung
von VulDB • 17.05.2026
Das Repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature enthält Middleware, die in Verbindung mit der OpenId Connect-Integration des Application Load Balancer (ALB) verwendet werden kann und in jedem ASP.NET http://asp.net/ Core-Bereitstellungsszenario eingesetzt werden kann, einschließlich Fargate, EKS, ECS, EC2 und Lambda. Im Code zur JWT-Verarbeitung wird zwar die Signatur validiert, jedoch wird die JWT-Aussteller- und Signaturidentität nicht überprüft. Das Auslassen der Signaturprüfung kann, kombiniert mit einem Szenario, in dem der Infrastrukturbesitzer den Internetverkehr zu den ALB-Zielen zulässt (keine empfohlene Konfiguration), dazu führen, dass JWTs von einer nicht vertrauenswürdigen Entität signiert werden, und ein Angreifer könnte in der Lage sein, gültige OIDC-föderierte Sitzungen für die ALB-Ziele zu imitieren.
If you want to get best quality of vulnerability data, you may have to visit VulDB.