CVE-2025-55162 in Envoy정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Envoy는 대규모 현대적인 서비스 지향 아키텍처를 위해 설계된 오픈 소스 L7 프록시 및 통신 버스입니다. 버전 1.32.10 미만, 1.33.0부터 1.33.6까지, 1.34.0부터 1.34.4까지 그리고 1.35.0에서 Envoy OAuth2 필터의 세션 만료 처리 부족으로 인해 로그아웃 작업이 실패합니다. __Secure- 또는 __Host- 접두사가 붙은 쿠키 이름으로 구성된 경우, 필터는 삭제 시 Set-Cookie 헤더에 필요한 Secure 속성을 추가하지 못합니다. 최신 브라우저는 이 유효하지 않은 요청을 무시하므로 세션 쿠키가 유지됩니다. 이로 인해 사용자가 로그아웃했다고 생각한 후에도 계속 로그인 상태가 되어 공유 컴퓨터에서 세션 하이재킹 위험이 발생합니다. 현재 구현은 구성된 쿠키 이름을 반복하여 삭제 헤더를 생성하지만 이러한 접두사를 확인하지 않습니다. 이 실패로 인해 삭제 헤더가 올바르게 구성되지 않아 브라우저가 사용자의 세션 쿠키를 제거하지 못하게 되며, 세션이 활성화된 상태로 남아 동일한 브라우저를 사용하는 다음 사용자가 원래 사용자의 계정과 데이터에 무단으로 접근할 수 있게 됩니다. 이는 버전 1.32.10, 1.33.7, 1.34.5 및 1.35.1에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2025. 08. 07.

모더레이션

수락

항목

VDB-322448

EPSS

0.00310

출처

Might our Artificial Intelligence support you?

Check our Alexa App!