Vulnérabilité critique dans Envoy

Une vulnérabilité critique a été corrigée dans Envoy Proxy, un proxy open-source. Elle peut permettre à un attaquant distant et non authentifié d’obtenir une élévation de privilèges et un accès à des ressources non autorisées.

CVE-2019-18802 [Score CVSS v3 : 9.8] : Un problème a été découvert dans Envoy 1.12.0. Un client distant non authentifié peut envoyer une requête avec une entête suivie d’un espace ce qui peut générer un défaut de traitement par Envoy. Un attaquant peut utiliser cette vulnérabilité afin de contourner des contrôles d’accès et ainsi obtenir une élévation de privilèges et un accès à des données potentiellement sensibles.

Informations
+

Risques

  • Elévation de privilèges

  • Fuite de données

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Un code d’exploitation est disponible publiquement

Composants vulnérables

  • Envoy Proxy toutes versions antérieures à la 1.12.1

CVE

  • CVE-2019-18802


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Envoy Proxy à la version 1.12.2 ou supérieure 

Solution de contournement

  • Aucune solution de contournement n’est disponible