Vulnerabilidad en Envoy (CVE-2024-23325)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/02/2024

Última modificación:

15/02/2024

Descripción

Envoy es un proxy de servicio/intermedio/perimetral de alto rendimiento. Envoy falla en el protocolo Proxy cuando usa un tipo de dirección que no es compatible con el sistema operativo. Envoy es susceptible de fallar en un host con IPv6 deshabilitado y una configuración de escucha con protocolo proxy habilitado cuando recibe una solicitud en la que el cliente presenta su dirección IPv6. Es válido que un cliente presente su dirección IPv6 a un servidor de destino aunque toda la cadena esté conectada a través de IPv4. Este problema se solucionó en las versiones 1.29.1, 1.28.1, 1.27.3 y 1.26.7. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:envoyproxy:envoy::::::::	1.26.0 (incluyendo)	1.26.7 (excluyendo)
cpe:2.3:a:envoyproxy:envoy::::::::	1.27.0 (incluyendo)	1.27.3 (excluyendo)
cpe:2.3:a:envoyproxy:envoy::::::::	1.28.0 (incluyendo)	1.28.1 (excluyendo)
cpe:2.3:a:envoyproxy:envoy::::::::	1.29.0 (incluyendo)	1.29.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Envoy (CVE-2024-23325)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información