Vulnerabilidad en Pomerium (CVE-2024-47616)

Pomerium es un proxy de acceso que reconoce la identidad y el contexto. El servicio de agente de datos Pomerium es responsable de administrar todo el estado persistente de la aplicación Pomerium. Las solicitudes a la API del servicio de agente de datos se autorizan mediante la presencia de un token web JSON (JWT) firmado por una clave conocida por todos los servicios Pomerium en la misma implementación. Sin embargo, la validación incompleta de este JWT significaba que algunos tokens de acceso a la cuenta de servicio se tratarían incorrectamente como válidos para el propósito de la autorización de la API del agente de datos. El acceso inadecuado a la API del agente de datos podría permitir la exfiltración de información del usuario, la suplantación de sesiones de usuario o la manipulación de las rutas, políticas y otras configuraciones de Pomerium. Una implementación de Pomerium es susceptible a este problema si se cumplen todas las siguientes condiciones: ha emitido un token de acceso a la cuenta de servicio mediante Pomerium Zero o Pomerium Enterprise, el token de acceso tiene una fecha de vencimiento explícita en el futuro y la API gRPC del agente de datos Pomerium principal no está protegida de otra manera por controles de acceso a la red. Esta vulnerabilidad se corrigió en 0.27.1.