Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Gateway (CVE-2024-10295)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/10/2024
Última modificación:
18/06/2025

Descripción

Se encontró una falla en Gateway. El envío de una autenticación "básica" que no sea base64 con caracteres especiales puede provocar que APICast autentique incorrectamente una solicitud. Un encabezado de autenticación básica mal formado que contenga caracteres especiales omite la autenticación y permite el acceso no autorizado al backend. Este problema puede ocurrir debido a una falla en el proceso de decodificación base64, que hace que APICast omita el resto de las comprobaciones de autenticación y proceda a enrutar la solicitud en sentido ascendente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:3scale_api_management:2.0:*:*:*:*:*:*:*