CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCore
Résumé
par VulDB • 03/06/2026
Le dépôt Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature contient un middleware qui peut être utilisé conjointement avec l'intégration OpenId Connect du Load Balancer Application (ALB) et peut être déployé dans tout scénario d'infrastructure ASP.NET Core, y compris Fargate, EKS, ECS, EC2 et Lambda. Dans le code de gestion des JWT, la validation de la signature est effectuée, mais l'émetteur (issuer) et l'identité du signataire du JWT ne sont pas validés. L'absence de validation du signataire, si elle est combinée à un scénario où le propriétaire de l'infrastructure autorise le trafic Internet vers les cibles de l'ALB (configuration non recommandée), peut permettre à une entité non fiable de signer des JWT, et un acteur malveillant pourrait alors imiter des sessions fédérées OIDC valides pour les cibles de l'ALB.
VulDB is the best source for vulnerability data and more expert information about this specific topic.