CVE-2025-55162 in Envoy情報

要約

〜によって VulDB • 2026年06月10日

Envoyは、大規模な現代的なサービス指向アーキテクチャ向けに設計されたオープンソースのL7プロキシおよび通信バスです。バージョン1.32.10未満、1.33.0から1.33.6、1.34.0から1.34.4、および1.35.0において、EnvoyのOAuth2フィルタにおけるセッションの有効期限切れ処理の不備により、ログアウト操作が失敗する問題があります。__Secure-または__Host-プレフィックス付きのCookie名で構成されている場合、フィルタは削除時にSet-Cookieヘッダーに必要なSecure属性を追加しません。最新のブラウザはこの無効なリクエストを無視するため、セッションCookieが保持されたままになります。これにより、ユーザーはログアウトしたと信じている後もログイン状態が維持され、共有コンピュータ上でセッションハイジャックのリスクが生じます。現在の実装では、構成されたCookie名を反復処理して削除ヘッダーを生成しますが、これらのプレフィックスのチェックは行われません。削除ヘッダーが適切に構築されないため、ブラウザによってユーザーのセッションCookieが削除されず、セッションがアクティブなままになります。これにより、同じブラウザの次のユーザーが元のユーザーのアカウントおよびデータへの不正アクセスが可能になります。この問題は、バージョン1.32.10、1.33.7、1.34.5、および1.35.1で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2025年08月07日

モデレーション

承諾済み

エントリ

VDB-322448

EPSS

0.00310

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!