CVE-2024-35223

Dapr is a portable, event-driven, runtime for building distributed applications across cloud and edge. Dapr sends the app token of the invoker app instead of the app token of the invoked app. This causes of a leak of the application token of the invoker app to the invoked app when using Dapr as a gRPC proxy for remote service invocation. This vulnerability impacts Dapr users who use Dapr as a gRPC proxy for remote service invocation as well as the Dapr App API token functionality. An attacker could exploit this vulnerability to gain access to the app token of the invoker app, potentially compromising security and authentication mechanisms. This vulnerability was patched in version 1.13.3.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/dapr/dapr/commit/e0591e43d0cdfd30a2f2960dce5d9892dc98bc2c
https://github.com/dapr/dapr/issues/7344
https://github.com/dapr/dapr/pull/7404
https://github.com/dapr/dapr/releases/tag/v1.13.3
https://github.com/dapr/dapr/security/advisories/GHSA-284c-x8m7-9w5h
https://github.com/dapr/dapr/commit/e0591e43d0cdfd30a2f2960dce5d9892dc98bc2c
https://github.com/dapr/dapr/issues/7344
https://github.com/dapr/dapr/pull/7404
https://github.com/dapr/dapr/releases/tag/v1.13.3
https://github.com/dapr/dapr/security/advisories/GHSA-284c-x8m7-9w5h

Configurations

No configuration.

History

21 Nov 2024, 09:19

Type	Values Removed	Values Added
References	~~() https://github.com/dapr/dapr/commit/e0591e43d0cdfd30a2f2960dce5d9892dc98bc2c -~~	() https://github.com/dapr/dapr/commit/e0591e43d0cdfd30a2f2960dce5d9892dc98bc2c -
References	~~() https://github.com/dapr/dapr/issues/7344 -~~	() https://github.com/dapr/dapr/issues/7344 -
References	~~() https://github.com/dapr/dapr/pull/7404 -~~	() https://github.com/dapr/dapr/pull/7404 -
References	~~() https://github.com/dapr/dapr/releases/tag/v1.13.3 -~~	() https://github.com/dapr/dapr/releases/tag/v1.13.3 -
References	~~() https://github.com/dapr/dapr/security/advisories/GHSA-284c-x8m7-9w5h -~~	() https://github.com/dapr/dapr/security/advisories/GHSA-284c-x8m7-9w5h -
Summary		(es) Dapr es un tiempo de ejecución portátil, controlado por eventos, para crear aplicaciones distribuidas en la nube y en el perímetro. Dapr envía el token de aplicación de la aplicación invocadora en lugar del token de aplicación de la aplicación invocada. Esto provoca una fuga del token de aplicación de la aplicación invocadora a la aplicación invocada cuando se usa Dapr como proxy gRPC para la invocación de servicios remotos. Esta vulnerabilidad afecta a los usuarios de Dapr que usan Dapr como proxy gRPC para la invocación de servicios remotos, así como a la funcionalidad del token API de la aplicación Dapr. Un atacante podría aprovechar esta vulnerabilidad para obtener acceso al token de la aplicación invocadora, lo que podría comprometer los mecanismos de seguridad y autenticación. Esta vulnerabilidad fue parcheada en la versión 1.13.3.

23 May 2024, 09:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-05-23 09:15

Updated : 2024-11-21 09:19

NVD link : CVE-2024-35223

Mitre link : CVE-2024-35223

CVE.ORG link : CVE-2024-35223

JSON object : View

Products Affected

No product.

CWE

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor

5.3 /10