Apollo de Apolloconfig. Vulnerabilidad encontrada

Vulnerabilidades CVE de Apollo de Apolloconfig

Apollo es un sistema de gestión de configuración.

CVE-2023-25570: Antes de la versión 2.1.0, existen posibles problemas de seguridad si los usuarios exponen el servicio de configuración de apollo a Internet, lo cual no se recomienda. Esto se debe a que no hay una función de autenticación habilitada para el servicio integrado de eureka. Los piratas informáticos maliciosos pueden acceder a eureka directamente para simular apollo-configservice y apollo-adminservice. La autenticación de inicio de sesión para eureka se agregó en la versión 2.1.0. Como solución alternativa, evite exponer apollo-configservice a Internet.
CVE-2023-25569: Antes de la versión 2.1.0, un usuario con pocos privilegios podía crear una página web especial. Si un administrador del portal autenticado visita esta página, la página puede enviar silenciosamente una solicitud para asignar nuevos roles para ese usuario sin ninguna confirmación del administrador del portal. La estrategia de cookies de SameSite se configuró en Lax en la versión 2.1.0. Como solución alternativa, evite visitar páginas de fuentes desconocidas.

CVE-2023-25570 https://github.com/apolloconfig/apollo/commit/7df79bf8df6960433ed4ff782a54e3dfc74632bd
CVE-2023-25569 https://github.com/apolloconfig/apollo/commit/00d968a7229f809b0d8ed0532e8c01a6c2b7c750

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-24. Fecha publicación el 2023-02-24. Autor: Oscar olg Mapa del sitio Fuente: cve report