CVE-2022-21657 in Envoyinformación

Resumen

por VulDB • 2026-06-14

Envoy es un proxy de borde y servicios de código abierto, diseñado para aplicaciones nativas en la nube. En las versiones afectadas, Envoy no restringe el conjunto de certificados que acepta del par, ya sea como cliente TLS o servidor TLS, únicamente a aquellos certificados que contengan los usos extendidos necesarios (extendedKeyUsage) correspondientes (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Esto significa que un par puede presentar un certificado de correo electrónico (por ejemplo, id-kp-emailProtection), ya sea como certificado raíz o como autoridad certificante (CA) en la cadena, y este será aceptado para TLS. Esto es particularmente grave cuando se combina con el problema descrito en la solicitud de extracción (pull request) #630, dado que permite a una CA del Web PKI destinada únicamente al uso con S/MIME —y por lo tanto exenta de auditoría o supervisión— emitir certificados TLS que serán aceptados por Envoy. Como resultado, Envoy confiará en los certificados upstream que no deberían ser confiables. No se conocen soluciones alternativas (workarounds) para este problema. Se recomienda a los usuarios actualizar la versión.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Reservar

2021-11-16

Divulgación

2022-02-23

Moderación

aceptado

Artículo

VDB-193639

CPE

listo

EPSS

0.00509

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!