CVE-2024-45806

Envoy is a cloud-native high-performance edge/middle/service proxy. A security vulnerability in Envoy allows external clients to manipulate Envoy headers, potentially leading to unauthorized access or other malicious actions within the mesh. This issue arises due to Envoy's default configuration of internal trust boundaries, which considers all RFC1918 private address ranges as internal. The default behavior for handling internal addresses in Envoy has been changed. Previously, RFC1918 IP addresses were automatically considered internal, even if the internal_address_config was empty. The default configuration of Envoy will continue to trust internal addresses while in this release and it will not trust them by default in next release. If you have tooling such as probes on your private network which need to be treated as trusted (e.g. changing arbitrary x-envoy headers) please explicitly include those addresses or CIDR ranges into `internal_address_config`. Successful exploitation could allow attackers to bypass security controls, access sensitive data, or disrupt services within the mesh, like Istio. This issue has been addressed in versions 1.31.2, 1.30.6, 1.29.9, and 1.28.7. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*
cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*

History

15 Oct 2024, 16:03

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 9.1
v2 : unknown
v3 : 6.5

03 Oct 2024, 15:36

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 9.8
v2 : unknown
v3 : 9.1

25 Sep 2024, 19:02

Type Values Removed Values Added
First Time Envoyproxy
Envoyproxy envoy
CVSS v2 : unknown
v3 : 6.5
v2 : unknown
v3 : 9.8
References () https://github.com/envoyproxy/envoy/security/advisories/GHSA-ffhv-fvxq-r6mf - () https://github.com/envoyproxy/envoy/security/advisories/GHSA-ffhv-fvxq-r6mf - Third Party Advisory
CPE cpe:2.3:a:envoyproxy:envoy:*:*:*:*:*:*:*:*

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Envoy es un proxy de servicio, de borde y de medio alcance de alto rendimiento nativo de la nube. Una vulnerabilidad de seguridad en Envoy permite que los clientes externos manipulen los encabezados de Envoy, lo que puede provocar un acceso no autorizado u otras acciones maliciosas dentro de la malla. Este problema surge debido a la configuración predeterminada de Envoy de los límites de confianza internos, que considera todos los rangos de direcciones privadas RFC1918 como internos. Se ha cambiado el comportamiento predeterminado para manejar direcciones internas en Envoy. Anteriormente, las direcciones IP RFC1918 se consideraban internas automáticamente, incluso si internal_address_config estaba vacío. La configuración predeterminada de Envoy seguirá confiando en las direcciones internas mientras esté en esta versión y no confiará en ellas de forma predeterminada en la próxima versión. Si tiene herramientas como sondas en su red privada que deben tratarse como confiables (por ejemplo, cambiando encabezados x-envoy arbitrarios), incluya explícitamente esas direcciones o rangos CIDR en `internal_address_config`. Una explotación exitosa podría permitir a los atacantes eludir los controles de seguridad, acceder a datos confidenciales o interrumpir servicios dentro de la malla, como Istio. Este problema se ha solucionado en las versiones 1.31.2, 1.30.6, 1.29.9 y 1.28.7. Se recomienda a los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.

20 Sep 2024, 00:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-20 00:15

Updated : 2024-10-15 16:03


NVD link : CVE-2024-45806

Mitre link : CVE-2024-45806

CVE.ORG link : CVE-2024-45806


JSON object : View

Products Affected

envoyproxy

  • envoy
CWE
CWE-639

Authorization Bypass Through User-Controlled Key