6.4средняя
BDU:2024-09507 (CVE-2024-10318)
Уязвимость модуля аутентификацию через протокол OpenID Connect веб-сервера NGINX, связанная с некорректным управлением сеансом, позволяющая нарушителю получить полный доступ к приложению
Опубликовано: 2024-11-14
Описание
Уязвимость модуля аутентификацию через протокол OpenID Connect веб-сервера NGINX связана с некорректным управлением сеансом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к приложению путём перехвата сеанса
Затрагиваемое ПО и версии
NGINX Instance Manager (от 2.5.0 до 2.17.4)NGINX Ingress Controller (от 3.0.0 до 3.7.1)NGINX Ingress Controller (от 2.2.1 до 2.4.2 включительно)NGINX Ingress Controller (до 1.12.5 включительно)NGINX API Connectivity Manager (от 1.3.0 до 1.9.3)NGINX OpenID Connect (до 2024-10-24)
Способ устранения
Использование рекомендаций производителя:
https://my.f5.com/manage/s/article/K000148232
Оценка CVSS
| Балл | 6.4 — средняя опасность |
Источники и патчи