CVE-2020-1762

High

An insufficient JWT validation vulnerability was found in Kiali versions 0.4.0 to 1.15.0 and was fixed in Kiali version 1.15.1, wherein a…

redhat·CWE-384·Published 2020-04-27

CVSS

8.6

EPSS

0.01

KEV

Exploits

cve.orgen

317 chars

An insufficient JWT validation vulnerability was found in Kiali versions 0.4.0 to 1.15.0 and was fixed in Kiali version 1.15.1, wherein a remote attacker could abuse this flaw by stealing a valid JWT cookie and using that to spoof a user session, possibly gaining privileges to view and alter the Istio configuration.

NVDen

317 chars

GHSAen

317 chars

NVDes

380 chars

Se encontró una vulnerabilidad de comprobación de JWT insuficiente en Kiali versiones 0.4.0 hasta la versión 1.15.0, y fue corregido en la versión 1.15.1, en la que un atacante remoto podría abusar de este fallo al robar una cookie JWT válida y usarla para falsificar una sesión de usuario, posiblemente obteniendo privilegios para visualizar y alterar la configuración de Istio.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	7.5	10.0	6.4	AV:N/AC:L/Au:N/C:P/I:P/A:P
3.1	Primary	NVD	8.6	3.9	4.7	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
3.1	Primary	cve.org	7.0	—	—	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H
3.1	Primary	cve.org	7.0	—	—	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H
3.1	Secondary	GHSA	8.6	—	—	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
3.1	Secondary	NVD	7.0	2.2	4.7	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H