CVE-2024-4536 in EDC정보

요약

\~에 의해 VulDB • 2026. 05. 23.

Eclipse Dataspace Components의 버전 0.2.1부터 0.6.2까지에서, EDC Connector 컴포넌트(https://github.com/eclipse-edc/Connector)를 통해 공격자가 보안 저장소(vault)에서 OAuth2 클라이언트 시크릿을 획득할 수 있습니다.

Eclipse Dataspace Components의 버전 0.2.1부터 0.6.2까지에서, OAuth2로 보호되는 데이터 싱크(data sink) 기능과 관련하여 EDC Connector 컴포넌트(https://github.com/eclipse-edc/Connector)에 보안 취약점이 확인되었습니다. 사용자 지정 OAuth2 보호 데이터 싱크를 사용할 때, OAuth2 전용 데이터 주소 속성은 제공자(provider) 데이터 플레인에 의해 해결됩니다. 문제점은 소비자가 제공한 clientSecretKey(보안 저장소에서 검색할 OAuth2 클라이언트 시크릿을 나타냄)가 소비자의 컨텍스트가 아닌 제공자의 보안 저장소 컨텍스트에서 해결된다는 것입니다. 그런 다음 이 시크릿의 값은 소비자가 제어하는 tokenUrl로 OAuth2 클라이언트 자격 증명 부여(client credentials grant)의 일부로 전송됩니다. 반환된 액세스 토큰은 데이터 싱크 URL로 베어러 토큰(bearer token)으로 전송됩니다.

이 기능은 성공적인 구현에 필요한 모든 코드 경로가 완전히 구현되지 않았기 때문에 완전히 비활성화되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

Eclipse Foundation

예약하다

2024. 05. 06.

모더레이션

수락

항목

VDB-263349

EPSS

0.00411

출처

Do you need the next level of professionalism?

Upgrade your account now!