CVE-2024-4536 in EDCinformação

Sumário

de VulDB • 19/05/2026

No Eclipse Dataspace Components, nas versões de 0.2.1 a 0.6.2, no componente EDC Connector (https://github.com/eclipse-edc/Connector), um atacante pode obter os segredos do cliente OAuth2 do cofre de segredos (vault).

No Eclipse Dataspace Components, nas versões de 0.2.1 a 0.6.2, foi identificada uma vulnerabilidade de segurança no componente EDC Connector (https://github.com/eclipse-edc/Connector) relacionada ao recurso de data sink protegido por OAuth2. Ao utilizar um data sink personalizado protegido por OAuth2, as propriedades específicas do endereço de dados do OAuth2 são resolvidas pelo plano de dados (data plane) do provedor. Problematicamente, o clientSecretKey fornecido pelo consumidor, que indica o segredo do cliente OAuth2 a ser recuperado de um cofre de segredos (secrets vault), é resolvido no contexto do cofre do provedor, e não do consumidor. O valor desse segredo é então enviado para o tokenUrl, também controlado pelo consumidor, como parte de uma concessão de credenciais de cliente OAuth2 (client credentials grant). O token de acesso retornado é então enviado como um token bearer para a URL do data sink.

Este recurso está agora totalmente desativado, pois nem todos os caminhos de código necessários para uma implementação bem-sucedida foram totalmente implementados.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Eclipse Foundation

Reservar

06/05/2024

Divulgação

07/05/2024

Moderação

aceite

Entrada

VDB-263349

CPE

pronto

EPSS

0.00411

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!