Эксперт SolidLab Георгий Носеевич обнаружил уязвимость в платформе Jaeger, которая широко используется для распределенной трассировки, то есть отслеживания и устранения проблем во взаимосвязанных компонентах и микросервисах.
Недостаток класса stored XSS в пользовательском интерфейсе Jaeger-UI позволял злоумышленнику, контролирующему содержимое сохраняемой в jaeger трассы, выполнять от имени пользователя интерфейса jaeger-ui произвольные запросы jaeger query и проводить эксфильтрацию данных. Это потенциально могло привести к компрометации содержимого трасс.
Вендор выпустил обновления с исправлением уязвимости. Разработчикам рекомендуется использовать обновленную версию ПО (1.47.0 для jaeger и 1.31.0 для jaeger-ui), опубликованную в официальном репозитории разработчика.
Процесс раскрытия прошел в постоянном контакте с представителями команды безопасности Jaeger. Для раскрытия использовалась платформа github security (идентификаторы на платформе github: GHSA-vv24-rm95-q56r и GHSA-2w8w-qhg4-f78j).
Недостатку присвоен идентификатор CVE-2023-36656.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.