CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCoreinformation

Résumé

par VulDB • 03/06/2026

Le dépôt Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature contient un middleware qui peut être utilisé conjointement avec l'intégration OpenId Connect du Load Balancer Application (ALB) et peut être déployé dans tout scénario d'infrastructure ASP.NET Core, y compris Fargate, EKS, ECS, EC2 et Lambda. Dans le code de gestion des JWT, la validation de la signature est effectuée, mais l'émetteur (issuer) et l'identité du signataire du JWT ne sont pas validés. L'absence de validation du signataire, si elle est combinée à un scénario où le propriétaire de l'infrastructure autorise le trafic Internet vers les cibles de l'ALB (configuration non recommandée), peut permettre à une entité non fiable de signer des JWT, et un acteur malveillant pourrait alors imiter des sessions fédérées OIDC valides pour les cibles de l'ALB.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

AMZN

Réserver

18/10/2024

Divulgation

22/10/2024

Modérer

accepté

Entrée

VDB-281461

CPE

prêt

EPSS

0.00319

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!