CVE-2024-10125

ALT (7,5)

CVSS3: 0,0

El repositori Amazon.ApplicationLoadBalancer.Identity.AspNetCore https://github.com/awslabs/aws-alb-identity-aspnetcore#validatetokensignature conté programari intermediari que es pot utilitzar juntament amb la integració d’OpenId Connect de Application Load Balancer (ALB) i es pot fer servir utilitzat en qualsevol escenari de desplegament principal d’ASP.NET http://asp.net/, inclosos Fargate, EKS, ECS, EC2 i Lambda. Al codi de gestió de JWT, fa la validació de la signatura, però no valida la identitat del signant ni de l’emissor JWT.

Sistemes Afectats

• Amazon Amazon.ApplicationLoadBalancer.Identity.AspNetCore Middleware – all

Remediació
No hi ha cap recurs disponible a partir del 21 d’octubre de 2024.

Referències

• https://aws.amazon.com/security/security-bulletins/AWS-2024-012/https://github.com/awslabs/aws-alb-identity-aspnetcore/security/advisories/GHSA-5gh5-cc5m-q244