CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCorethông tin

Tóm tắt

Bởi VulDB • 03/06/2026

Kho lưu trữ Amazon.ApplicationLoadBalancer.Identity.AspNetCore tại https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature chứa Middleware có thể được sử dụng kết hợp với tích hợp OpenId Connect của Application Load Balancer (ALB) và có thể áp dụng trong bất kỳ kịch bản triển khai ASP.NET Core nào, bao gồm Fargate, EKS, ECS, EC2 và Lambda. Trong mã xử lý JWT, quá trình xác thực chữ ký được thực hiện nhưng không xác thực nhà phát hành (issuer) và danh tính người ký (signer identity) của JWT. Việc bỏ qua xác thực người ký, nếu kết hợp với kịch bản mà chủ sở hữu cơ sở hạ tầng cho phép lưu lượng truy cập internet đến các đích (targets) của ALB (không phải là cấu hình được khuyến nghị), có thể cho phép một thực thể không đáng tin cậy ký JWT, và một kẻ tấn công có thể giả mạo các phiên liên danh OIDC hợp lệ đối với các đích của ALB.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

AMZN

Đặt trước

18/10/2024

Tiết lộ

22/10/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00319

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!