Vulnérabilité critique dans Envoy
Date de publication :
Une vulnérabilité critique a été corrigée dans Envoy Proxy, un proxy open-source. Elle peut permettre à un attaquant distant et non authentifié d’obtenir une élévation de privilèges et un accès à des ressources non autorisées.
CVE-2019-18802 [Score CVSS v3 : 9.8] : Un problème a été découvert dans Envoy 1.12.0. Un client distant non authentifié peut envoyer une requête avec une entête suivie d’un espace ce qui peut générer un défaut de traitement par Envoy. Un attaquant peut utiliser cette vulnérabilité afin de contourner des contrôles d’accès et ainsi obtenir une élévation de privilèges et un accès à des données potentiellement sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Fuite de données
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Un code d’exploitation est disponible publiquement
Composants vulnérables
- Envoy Proxy toutes versions antérieures à la 1.12.1
CVE
- CVE-2019-18802
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Envoy Proxy à la version 1.12.2 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible