CVE-2022-21657 in Envoy
Resumen
por VulDB • 2026-06-14
Envoy es un proxy de borde y servicios de código abierto, diseñado para aplicaciones nativas en la nube. En las versiones afectadas, Envoy no restringe el conjunto de certificados que acepta del par, ya sea como cliente TLS o servidor TLS, únicamente a aquellos certificados que contengan los usos extendidos necesarios (extendedKeyUsage) correspondientes (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Esto significa que un par puede presentar un certificado de correo electrónico (por ejemplo, id-kp-emailProtection), ya sea como certificado raíz o como autoridad certificante (CA) en la cadena, y este será aceptado para TLS. Esto es particularmente grave cuando se combina con el problema descrito en la solicitud de extracción (pull request) #630, dado que permite a una CA del Web PKI destinada únicamente al uso con S/MIME —y por lo tanto exenta de auditoría o supervisión— emitir certificados TLS que serán aceptados por Envoy. Como resultado, Envoy confiará en los certificados upstream que no deberían ser confiables. No se conocen soluciones alternativas (workarounds) para este problema. Se recomienda a los usuarios actualizar la versión.
If you want to get best quality of vulnerability data, you may have to visit VulDB.