Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dex (CVE-2024-23656)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-326 Fortaleza de cifrado inadecuada
Fecha de publicación:
25/01/2024
Última modificación:
31/01/2024

Descripción

Dex es un servicio de identidad que utiliza OpenID Connect para impulsar la autenticación de otras aplicaciones. Dex 2.37.0 sirve HTTPS con TLS 1.0 y TLS 1.1 inseguros. La línea 425 de `cmd/dex/serve.go` aparentemente establece TLS 1.2 como versión mínima, pero el `tlsConfig` completo se ignora después de que se introdujo el `TLS cert reloader` en v2.37.0. Tampoco se respetan los conjuntos de cifrado configurados. Este problema se solucionó en Dex 2.38.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:linuxfoundation:dex:2.37.0:*:*:*:*:*:*:*