AlteraciĆ³n de URL del backend en Lura Project

Fecha de publicaciĆ³n: 29/07/2022

Importancia:
Media

Recursos afectados:

  • Lura and KrakenD-CE, versiones anteriores a la 2.0.2;
  • KrakenD-EE versiones anteriores a la 2.0.0.

DescripciĆ³n:

INCIBE ha coordinado la publicaciĆ³n de una vulnerabilidad en Lura Project, con el cĆ³digo interno INCIBE-2022-0850, que ha sido descubierta por el usuario Fepame de GitHub.

A esta vulnerabilidad se le ha asignado el cĆ³digo CVE-2022-1561. Se ha calculado una puntuaciĆ³n base CVSS v3.1 de 4,0, siendo el cĆ”lculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N.

SoluciĆ³n:

  • Los usuarios de Lura Project and KrakenD-CE deben actualizar a la versiĆ³n 2.0.2 o superiores;
  • los usuarios de KrakenD-EE deben actualizar a la versiĆ³n 2.0.0 o superiores.

Detalle:

Las versiones de Lura and KrakenD-CE, anteriores a 2.0.2 y KrakenD-EE, anteriores a 2.0.0, no sanean correctamente los parƔmetros de la URL, permitiendo a un atacante alterar la URL del backend definida por una tuberƭa cuando los usuarios remotos envƭan peticiones URL especialmente diseƱadas.

La vulnerabilidad no afecta propiamente a KrakenD, pero el backend consumido podrĆ­a ser vulnerable.

CWE-471: modificaciĆ³n de datos supuestamente inmutables.

Si tiene mĆ”s informaciĆ³n sobre este aviso, pĆ³ngase en contacto con INCIBE, como se indica en la secciĆ³n de asignaciĆ³n y publicaciĆ³n de CVE.

Encuesta valoraciĆ³n

Etiquetas:
0day, ActualizaciĆ³n, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.