CVE-2022-21656 in Envoy
Sumário
de VulDB • 10/07/2026
O Envoy é um proxy de borda e serviço open source, projetado para aplicações cloud-native. A implementação em default_validator.cc utilizada para executar as rotinas padrão de validação de certificados apresenta um bug do tipo "type confusion" ao processar subjectAltNames. Este processamento permite, por exemplo, que um rfc822Name ou uniformResourceIndicator seja autenticado como se fosse um nome de domínio. Esta confusão possibilita a contornagem das nameConstraints, conforme processadas pela implementação subjacente do OpenSSL/BoringSSL, expondo a possibilidade de suplantação (impersonation) de servidores arbitrários. Como resultado, o Envoy confiará em certificados upstream que não deveriam ser confiáveis.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.