Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Go SDK (CVE-2024-28110)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-522 Credenciales insuficientemente protegidas
Fecha de publicación:
06/03/2024
Última modificación:
07/03/2024

Descripción

Go SDK para CloudEvents es el SDK oficial de CloudEvents para integrar aplicaciones con CloudEvents. Antes de la versión 2.15.2, el uso de cloudevents.WithRoundTripper para crear un cloudevents.Client con un http.RoundTripper autenticado provocaba que go-sdk filtrara credenciales a endpoints arbitrarios. Cuando el transporte se completa con un transporte autenticado, http.DefaultClient se modifica con el transporte autenticado y comenzará a enviar tokens de autorización a cualquier endpoint con el que se utilice para contactar. La versión 2.15.2 soluciona este problema.