Эксперт SolidLab обнаружил уязвимость в платформе Jaeger

20.07.2023
Эксперт SolidLab обнаружил уязвимость в платформе Jaeger

Эксперт SolidLab Георгий Носеевич обнаружил уязвимость в платформе Jaeger, которая широко используется для распределенной трассировки, то есть отслеживания и устранения проблем во взаимосвязанных компонентах и микросервисах.

Недостаток класса stored XSS в пользовательском интерфейсе Jaeger-UI позволял злоумышленнику, контролирующему содержимое сохраняемой в jaeger трассы, выполнять от имени пользователя интерфейса jaeger-ui произвольные запросы jaeger query и проводить эксфильтрацию данных. Это потенциально могло привести к компрометации содержимого трасс.

Вендор выпустил обновления с исправлением уязвимости. Разработчикам рекомендуется использовать обновленную версию ПО (1.47.0 для jaeger и 1.31.0 для jaeger-ui), опубликованную в официальном репозитории разработчика.

Процесс раскрытия прошел в постоянном контакте с представителями команды безопасности Jaeger. Для раскрытия использовалась платформа github security (идентификаторы на платформе github: GHSA-vv24-rm95-q56r и GHSA-2w8w-qhg4-f78j).

Недостатку присвоен идентификатор CVE-2023-36656.

Итоги премии «Киберпросвет» 2024 Итоги премии «Киберпросвет» 2024
Популярные материалы