[TLP:CLEAR] F5 NGINX OpenID Connect opravuje 1 zranitelnost

F5 opravuje středně závažnou zranitelnost v komponentě NGINX OpenID Connect, která je implementována v několika produktech [1]. Produkty a jejich opravy: NGINX Instance Manager - 2.17.4 NGINX API Connectivity Manager - 1.9.3 NGINX Ingress Controller - 3.7.1 NGINX Plus - je doporučeno aktualizovat produkt na verzi R31 nebo novější a dále aktualizovat modul nginx-plus-module-njs a komponentu nginx-openid-connect. Detailní informace naleznete na [2].

F5 NGINX OpenID Connect - session misuse (CVE-2024-10318) CVSS 5.4 (Medium)

Neautentizovanému vzdálenému útočníkovi je s využitím technik sociálního inženýrství umožněno zneužít relaci uživatele kvůli nedostatečné validaci při autentizaci. NGINX Plus je zranitelný pouze v případě, že je nainstalována komponenta OpenID Connect (NJS-based) [1][3].

Zranitelnost se nachází v produktech:

  • NGINX Instance Manager ve verzích >=2.5.0 AND <=2.17.3
  • NGINX API Connectivity Manager ve verzích >=1.3.0 AND <=1.9.2
  • NGINX Ingress Controller ve verzích (==1.12.5) OR (>=2.2.1 AND <=2.4.2) OR (>=3.0.0 AND <=3.7.0)
  • NGINX Plus ve verzích <R31

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 6. 11. 2024.


Publikovala Michaela Ručková dne 8. 11. 2024.

CESNET CERTS Logo