皓月当空,明镜高悬
文末有图片更好保存~
漏洞名称:JWT token可允许恶意操作,包括远程代码执行(RCE)
漏洞出现时间:2023年10月6日
影响等级:严重
影响版本:
- < 5.2.2
漏洞说明:
影响用户可以对Manager和API访问的身份验证中使用的JWT令牌(JSON Web令牌)进行逆向工程,伪造有效的NeuVector令牌以在NeuVector中执行恶意活动。这可能导致RCE。补丁升级至NeuVector[5.2.2版](https://open-docs.neuvector.com/releasenotes/5x)或更高版本和最新Helm图表(2.6.3+)。+在5.2.2中,JWT签名证书由控制器自动创建,有效期为90天,并自动轮换。+使用Helm-based部署/升级到5.2.2为Manager、REST API、ahd注册表适配器生成唯一证书。
修复方式:
-
升级置最新版本
-
https://github.com/neuvector/neuvector/security/advisories/GHSA-622h-h2p8-743x
相关链接:
-
https://github.com/neuvector/neuvector/security/advisories/GHSA-622h-h2p8-743x
-
https://open-docs.neuvector.com/releasenotes/5x
最快的威胁情报,最全的漏洞评估
Tips
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑(compact)且自包含(self-contained)的方式,用于在各方之间以JSON 对象方式安全地传输信息。
图片版本更好保存哦~
目前正在筹备漏洞情报中心,有什么建议和想法可以公众号留言,建议一旦采取,将获得内测名额
目前就这个鬼样子,ui我实在是无能为力,有热心小伙愿意设计ui也可以找我
【严重漏洞】 Apache FreeRDP 出现多个cve漏洞
【高危漏洞】【未修复】EduSoho企培开源版存在未授权访问漏洞
【高危漏洞】北京启明星辰信息安全技术有限公司天镜Web应用检测系统存在弱口令漏洞
【严重漏洞】CVE-2023-34968 Samba信息泄露漏洞
【高危漏洞】启明星辰信息安全技术有限公司4A统一安全管控平台存在命令执行漏洞
【高危漏洞】CVE-2023-40195-Apache Airflow 存在反序列化漏洞
原文始发于微信公众号(皓月当空w):【严重漏洞】JWT token可允许恶意操作,包括远程代码执行(RCE)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论