CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCoreinformazioni

Riassunto

di VulDB • 16/06/2026

Il repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature contiene Middleware che può essere utilizzato in combinazione con l'integrazione OpenId Connect del Application Load Balancer (ALB) e può essere impiegato in qualsiasi scenario di distribuzione ASP.NET http://asp.net/ Core, inclusi Fargate, EKS, ECS, EC2 e Lambda. Nel codice di gestione JWT, viene eseguita la validazione della firma ma non vengono validate l'emittente del JWT e l'identità del firmatario. L'omissione del controllo sul firmatario, se combinata con uno scenario in cui il proprietario dell'infrastruttura consente il traffico internet verso i target ALB (configurazione sconsigliata), può consentire la firma di JWT da parte di un'entità non attendibile e un attore potrebbe essere in grado di imitare sessioni OIDC-federate valide per i target ALB.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

AMZN

Prenotare

18/10/2024

Divulgazione

22/10/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00319

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!