KubePi — это панель K8s. Начиная с версии 1.6.3 и до версии 1.8.0, имеется дефект в проверке токена KubePi JWT. Ключ JWT в файле конфигурац…
KubePi — это панель K8s. Начиная с версии 1.6.3 и до версии 1.8.0, имеется дефект в проверке токена KubePi JWT. Ключ JWT в файле конфигурации по умолчанию пуст. Хотя для перезаписи ключа в файле конфигурации будет сгенерирована случайная 32-битная строка, когда будет обнаружено, что ключ пуст в логике чтения файла конфигурации, ключ будет пустым во время фактической проверки. Использование пустого ключа для создания токена JWT может обойти проверку входа в систему и напрямую захватить серверную часть. Версия 1.8.0 содержит исправление для этой проблемы.
Система на кристалле (SoC) реализует механизм токенов безопасности для разграничения разрешённых и запрещённых действий в зависимости от того, из какого субъекта исходит транзакция. Однако токены безопасности ненадлежащим образом защищены.
https://cwe.mitre.org/data/definitions/1259.html →Открыть в коллекции CWE →Нет описания.
https://capec.mitre.org/data/definitions/121.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/681.html →Открыть в коллекции CAPEC →