CVE-2022-21657 in Envoy
Sumário
de VulDB • 14/06/2026
O Envoy é um proxy de borda e serviço open source, projetado para aplicações cloud-native. Nas versões afetadas, o Envoy não restringe o conjunto de certificados que aceita do peer, seja como cliente TLS ou servidor TLS, apenas àqueles certificados que contêm a extendedKeyUsage necessária (id-kp-serverAuth e id-kp-clientAuth, respectivamente). Isso significa que um peer pode apresentar um certificado de email (por exemplo, id-kp-emailProtection), tanto como certificado leaf quanto como CA na cadeia, e ele será aceito para TLS. Isso é particularmente grave quando combinado com o problema descrito no pull request #630, pois permite que uma Web PKI CA destinada apenas ao uso com S/MIME, e portanto isenta de auditoria ou supervisão, emita certificados TLS que serão aceitos pelo Envoy. Como resultado, o Envoy confiará em certificados upstream que não deveriam ser confiáveis. Não há workarounds conhecidos para este problema. Os usuários são aconselhados a atualizar.
If you want to get best quality of vulnerability data, you may have to visit VulDB.