Vulnerabilidad en Go SDK (CVE-2024-28110)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
06/03/2024
Última modificación:
07/03/2024
Descripción
Go SDK para CloudEvents es el SDK oficial de CloudEvents para integrar aplicaciones con CloudEvents. Antes de la versión 2.15.2, el uso de cloudevents.WithRoundTripper para crear un cloudevents.Client con un http.RoundTripper autenticado provocaba que go-sdk filtrara credenciales a endpoints arbitrarios. Cuando el transporte se completa con un transporte autenticado, http.DefaultClient se modifica con el transporte autenticado y comenzará a enviar tokens de autorización a cualquier endpoint con el que se utilice para contactar. La versión 2.15.2 soluciona este problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA