Пользователь может выполнить реверс-инжиниринг токена JWT (JSON Web Token), используемого для аутентификации для доступа к Manager и API, п…
Пользователь может выполнить реверс-инжиниринг токена JWT (JSON Web Token), используемого для аутентификации для доступа к Manager и API, подделав действительный токен NeuVector для выполнения вредоносных действий в NeuVector. Это может привести к RCE.
Продукт реализует механизм токенов безопасности для разграничения допустимых и недопустимых действий при поступлении транзакции от некоторой сущности. Однако формируемые в системе токены безопасности оказываются некорректными.
https://cwe.mitre.org/data/definitions/1270.html →Открыть в коллекции CWE →Нет описания.
https://capec.mitre.org/data/definitions/121.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует уязвимость в аутентификации для создания маркера доступа (или его эквивалента), имитирующего иной субъект, после чего связывает процесс/поток с этим поддельным маркером. Это приводит к тому, что последующий пользователь принимает решение или выполняет действие на основе предполагаемой идентификации, а не ответа, блокирующего злоумышленника.
https://capec.mitre.org/data/definitions/633.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/681.html →Открыть в коллекции CAPEC →