Vulnerabilità: CVE-2020-15129

In Traefik prima versione 1.7.26, 2.2.8 e 2.3.0-RC3, esiste una potenziale vulnerabilità aperta reindirizzamento nella gestione di Traefik dell’intestazione ""X-Forwarded-Prefix"". Il componente API cruscotto Traefik non convalida che il valore dell’intestazione ""X-Forwarded-Prefix"" è un percorso relativo sito e reindirizza a qualsiasi intestazione disponibile URI. Lo sfruttamento di un reindirizzamento aperto può essere utilizzato per le vittime invogliare a rivelare informazioni sensibili. Lo sfruttamento attivo di questo problema è improbabile in quanto richiederebbe un colpo di testa di iniezione attiva, tuttavia il team Traefik affrontato la questione comunque per prevenire abusi in es cache poisoning scenari.


https://github.com/containous/traefik/security/advisories/GHSA-6qq8-5wq3-86rp
https://github.com/containous/traefik/security/advisories/GHSA-6qq8-5wq3-86rp
https://github.com/containous/traefik/commit/e63db782c11c7b8bfce30be4c902e7ef8f9f33d2
https://github.com/containous/traefik/commit/e63db782c11c7b8bfce30be4c902e7ef8f9f33d2
https://github.com/containous/traefik/pull/7109
https://github.com/containous/traefik/pull/7109
https://github.com/containous/traefik/releases/tag/v1.7.26
https://github.com/containous/traefik/releases/tag/v1.7.26
https://github.com/containous/traefik/releases/tag/v2.2.8
https://github.com/containous/traefik/releases/tag/v2.2.8
https://github.com/containous/traefik/releases/tag/v2.3.0-rc3
https://github.com/containous/traefik/releases/tag/v2.3.0-rc3
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15129


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi