Vulnerabilidad en Apache APISIX (CVE-2025-46647)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2025
Última modificación:
03/07/2025
Descripción
Una vulnerabilidad del complemento openid-connect en Apache APISIX. Esta vulnerabilidad solo tendrá impacto si se cumplen todas las siguientes condiciones: 1. Usar el complemento openid-connect con modo de introspección. 2. El servicio de autenticación conectado a openid-connect presta servicios a múltiples emisores. 3. Varios emisores comparten la misma clave privada y dependen únicamente de que el emisor sea diferente. Si se ve afectado por esta vulnerabilidad, un atacante con una cuenta válida en uno de los emisores podría iniciar sesión en el otro. Este problema afecta a Apache APISIX hasta la versión 3.12.0. Se recomienda a los usuarios actualizar a la versión 3.12.0 o superior.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA