Vulnerabilidad en Dex (CVE-2022-39222)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/10/2022

Última modificación:

11/07/2023

Descripción

Dex es un servicio de identidad que usa OpenID Connect para impulsar la autenticación de otras aplicaciones. Las instancias de Dex con clientes públicos (y por extensión, los clientes que aceptan tokens emitidos por esas instancias de Dex) están afectadas por esta vulnerabilidad si están ejecutando una versión anterior a la 2.35.0. Un atacante puede explotar esta vulnerabilidad al hacer que una víctima navegue a un sitio web malicioso y guiándola mediante el flujo OIDC, robando el código de autorización OAuth en el proceso. El código de autorización puede entonces ser intercambiado por el atacante por un token, consiguiendo acceso a las aplicaciones que aceptan ese token. La versión 2.35.0 ha introducido una corrección para este problema. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno