Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el encabezado HTTP "X-Endpoint-API-UserInfo" en Extensible Service Proxy (CVE-2021-41130)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/10/2021
Última modificación:
18/10/2021

Descripción

Extensible Service Proxy, también se conoce como ESP, es un proxy que permite la administración de la API para los servicios JSON/REST o gRPC. ESPv1 puede ser configurado para autenticar un token JWT. Su reclamación JWT verificada se pasa a la aplicación mediante el encabezado HTTP "X-Endpoint-API-UserInfo", la aplicación puede usarla para hacer la autorización. Pero si presenta dos encabezados "X-Endpoint-API-UserInfo" del cliente, ESPv1 sólo reemplaza la primera, la segunda será pasada a la aplicación. Un atacante puede enviar dos encabezados "X-Endpoint-API-UserInfo", la segunda con una reclamación JWT falsa. La aplicación puede usar la reclamación JWT falsa para hacer la autorización. Esto afecta a los siguientes usos de ESPv1: 1) Los usuarios han configurado ESPv1 para hacer la autenticación JWT con Google ID Token como se describe en el documento de Google Endpoint referenciado. 2) La aplicación backend de los usuarios usa la información del encabezado "X-Endpoint-API-UserInfo" para realizar la autorización. Se ha corregido en la versión 1.58.0. Es necesario parchearlo de las siguientes maneras: * Si su imagen docker está usando la etiqueta ":1", necesita reiniciar el contenedor para recoger la nueva versión. La etiqueta ":1" apuntará automáticamente a la última versión. * Si la etiqueta de su imagen docker apunta a una versión menor específica, por ejemplo ":1.57". Debe actualizarla a ":1.58" y reiniciar el contenedor. No se presenta ninguna solución para este problema

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:S/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.90 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:google:extensible_service_proxy:*:*:*:*:*:*:*:* 1.58.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información