KubeVela 安全漏洞 CVE-2022-36089 CNNVD-202209-482
-
AV
AC
AU
C
I
A
发布:
2022-09-07
修订:
2024-11-21
KubeVela是KubeVela开源的一个现代应用程序交付平台。 KubeVela 1.4.11和1.5.4之前的版本存在安全漏洞,该漏洞源于其VelaUX APIServer使用PlatformID作为签名密钥为用户生成JWT令牌。另一个名为“getSystemInfo”的API暴露了platformID。这个操作允许用户使用platformID重新生成JWT令牌,从而绕过身份验证。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有2条受影响产品信息
