CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCore
Tóm tắt
Bởi VulDB • 03/06/2026
Kho lưu trữ Amazon.ApplicationLoadBalancer.Identity.AspNetCore tại https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature chứa Middleware có thể được sử dụng kết hợp với tích hợp OpenId Connect của Application Load Balancer (ALB) và có thể áp dụng trong bất kỳ kịch bản triển khai ASP.NET Core nào, bao gồm Fargate, EKS, ECS, EC2 và Lambda. Trong mã xử lý JWT, quá trình xác thực chữ ký được thực hiện nhưng không xác thực nhà phát hành (issuer) và danh tính người ký (signer identity) của JWT. Việc bỏ qua xác thực người ký, nếu kết hợp với kịch bản mà chủ sở hữu cơ sở hạ tầng cho phép lưu lượng truy cập internet đến các đích (targets) của ALB (không phải là cấu hình được khuyến nghị), có thể cho phép một thực thể không đáng tin cậy ký JWT, và một kẻ tấn công có thể giả mạo các phiên liên danh OIDC hợp lệ đối với các đích của ALB.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.