Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Linkerd (CVE-2024-40632)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
15/07/2024
Última modificación:
16/07/2024

Descripción

Linkerd es una malla de servicios de código abierto, ultraligera y que prioriza la seguridad para Kubernetes. En las versiones afectadas, cuando la aplicación que ejecuta Linkerd es susceptible a SSRF, un atacante podría desencadenar un ataque de denegación de servicio (DoS) al realizar solicitudes a localhost:4191/shutdown. Linkerd podría introducir una variable de entorno opcional para controlar un token que debe pasarse como encabezado. Linkerd debería rechazar las solicitudes de cierre que no incluyan este encabezado. Este problema se solucionó en la versión edge-24.6.2 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
3.70
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información