CVE-2024-4536 in EDC情報

要約

〜によって VulDB • 2026年05月23日

Eclipse Dataspace Componentsのバージョン0.2.1から0.6.2にかけて、EDC Connectorコンポーネント(https://github.com/eclipse-edc/Connector)において、攻撃者がVaultからOAuth2クライアントのシークレットを取得する可能性があります。

Eclipse Dataspace Componentsのバージョン0.2.1から0.6.2にかけて、EDC Connectorコンポーネント(https://github.com/eclipse-edc/Connector)のOAuth2で保護されたデータシンク機能に関するセキュリティ脆弱性が特定されました。カスタムでOAuth2で保護されたデータシンクを使用する場合、OAuth2固有のデータアドレスプロパティはプロバイダーのデータプレーンによって解決されます。問題となるのは、Vaultから取得するOAuth2クライアントシークレットを示すコンシューマー提供のclientSecretKeyが、コンシューマーではなくプロバイダーのVaultのコンテキストで解決されることです。その後、このシークレットの値は、OAuth2クライアント資格情報付与の一部として、コンシューマーが制御するtokenUrlにも送信されます。返されたアクセストークンは、その後、データシンクURLに対してベアラートークンとして送信されます。

この機能は、正常な実現に必要なすべてのコードパスが完全に実装されていなかったため、完全に無効化されました。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

予約する

2024年05月06日

モデレーション

承諾済み

エントリ

VDB-263349

EPSS

0.00411

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!