Vulnerabilidad en Pomerium (CVE-2024-39315)

Pomerium es un proxy de acceso consciente de la identidad y el contexto. Antes de la versión 0.26.1, la página de información del usuario de Pomerium (en `/.pomerium`) incluía involuntariamente tokens de ID y acceso OAuth2 serializados de la sesión del usuario que había iniciado sesión. Estos tokens no están destinados a ser expuestos a los usuarios finales. Este problema puede ser más grave en presencia de una vulnerabilidad de cross-site scripting en una aplicación ascendente enviada a través de Pomerium. Si un atacante pudiera insertar un script malicioso en una página web proxy a través de Pomerium, ese script podría acceder a estos tokens realizando una solicitud al endpoint `/.pomerium`. Las aplicaciones ascendentes que autentican solo el token de ID pueden ser vulnerables a la suplantación del usuario utilizando un token obtenido de esta manera. Tenga en cuenta que un token de acceso OAuth2 o un token de identificación por sí solo no es suficiente para secuestrar la sesión de Pomerium de un usuario. Las aplicaciones ascendentes no deben ser vulnerables a la suplantación del usuario a través de estos tokens, siempre que la aplicación verifique el Pomerium JWT para cada solicitud, la conexión entre Pomerium y la aplicación esté protegida por mTLS, o la conexión entre Pomerium y la aplicación esté asegurada de otro modo en la capa de red. . El problema se solucionó en Pomerium v0.26.1. No hay workarounds disponibles.