Vulnerabilidad en el endpoint /api/v2/config en EdgeX Foundry (CVE-2022-31066)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/06/2022
Última modificación:
23/06/2022
Descripción
EdgeX Foundry es un proyecto de código abierto para construir un marco común abierto para la computación de borde de la Internet de las Cosas. En versiones anteriores a 2.1.1, el endpoint /api/v2/config expone las credenciales del bus de mensajes a usuarios locales no autenticados. En el modo de seguridad habilitado, las credenciales del bus de mensajes se supone que son mantenidas en el almacén secreto de EdgeX y requieren autenticación para acceder. Esta vulnerabilidad omite los controles de acceso a las credenciales del bus de mensajes cuando es ejecutada en modo de seguridad habilitado. (No son requaridas credenciales cuando es ejecutado en modo de seguridad deshabilitada.) Como resultado, los atacantes podrían interceptar datos o inyectar datos falsos en el bus de mensajes de EdgeX. Los usuarios deben actualizar a EdgeXFoundry Kamakura versión (2.2.0) o a EdgeXFoundry LTS Jakarta versión de junio de 2022 (2.1.1) para recibir el parche. Más información sobre qué módulos go, contenedores docker y snaps contienen parches está disponible en el aviso de seguridad de GitHub. Actualmente no se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:edgexfoundry:edgex_foundry:*:*:*:*:*:*:*:* | 2.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página