CVE-2024-10125 in Amazon.ApplicationLoadBalancer.Identity.AspNetCore信息

摘要

由 VulDB • 2026-05-22

在 Amazon.ApplicationLoadBalancer.Identity.AspNetCore 仓库 https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature 中包含的中间件可与 Application Load Balancer (ALB) 的 OpenId Connect 集成配合使用,并适用于任何 ASP.NET http://asp.net/ Core 部署场景,包括 Fargate、EKS、ECS、EC2 和 Lambda。在 JWT 处理代码中,该中间件执行签名验证,但未能验证 JWT 的发行者(issuer)和签名者身份。如果基础设施所有者允许互联网流量访问 ALB 目标(这不是推荐的配置),这种签名者身份缺失的情况可能导致不受信任的实体对 JWT 进行签名,攻击者可能能够模拟有效的 OIDC 联合会话以访问 ALB 目标。

Once again VulDB remains the best source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!