CVE-2022-31733

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

03/02/2023

Última modificación:

25/03/2025

Descripción

*** Pendiente de traducción *** Starting with diego-release 2.55.0 and up to 2.69.0, and starting with CF Deployment 17.1 and up to 23.2.0, apps are accessible via another port on diego cells, allowing application ingress without a client certificate. If mTLS route integrity is enabled AND unproxied ports are turned off, then an attacker could connect to an application that should be only reachable via mTLS, without presenting a client certificate.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cloudfoundry:cf-deployment::::::::	17.1 (incluyendo)	23.2.0 (incluyendo)
cpe:2.3:a:cloudfoundry:diego::::::::	2.55.0 (incluyendo)	2.69.0 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CVE-2022-31733

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información