CVE-2024-4536 in EDCinformación

Resumen

por MITRE • 2024-05-07

En los componentes de Eclipse Dataspace de la versión 0.2.1 a 0.6.2, en el componente EDC Connector (https://github.com/eclipse-edc/Connector), un atacante podría obtener secretos del cliente OAuth2 de la bóveda. En los componentes de Eclipse Dataspace de la versión 0.2.1 a 0.6.2, hemos identificado una vulnerabilidad de seguridad en el componente EDC Connector (https://github.com/eclipse-edc/Connector) con respecto a la función de receptor de datos protegido por OAuth2. Cuando se utiliza un receptor de datos personalizado protegido por OAuth2, el plano de datos del proveedor resuelve las propiedades de dirección de datos específicas de OAuth2. Lo problemático es que la clientSecretKey proporcionada por el consumidor, que indica el secreto del cliente OAuth2 para recuperar de una bóveda de secretos, se resuelve en el contexto de la bóveda del proveedor, no en el del consumidor. Luego, el valor de este secreto se envía a tokenUrl, también controlado por el consumidor, como parte de una concesión de credenciales de cliente OAuth2. El token de acceso devuelto se envía luego como token de portador a la URL del receptor de datos. Esta característica ahora está completamente deshabilitada porque no se implementaron completamente todas las rutas de código necesarias para una realización exitosa.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Eclipse Foundation

Reservar

2024-05-06

Divulgación

2024-05-07

Moderación

aceptado

Artículo

VDB-263349

CPE

listo

EPSS

0.00411

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!