关键信息 1. 漏洞编号: - CVE-2024-10295 2. 发布日期: - 2024年10月23日 3. 最近更新日期: - 2024年10月24日 4. 严重性: - 中等 5. 描述: - 发现了一个在Gateway中的漏洞。发送非base64 'basic' auth与特殊字符会导致APICast错误地验证请求。一个有缺陷的基本认证头包含特殊字符,可以绕过认证并允许未经授权的访问到后端。这个问题可能由于base64解码过程的失败,导致APICast跳过其余的认证检查并继续路由请求。 6. 受影响的包和Red Hat安全补丁: - Red Hat 3scale API Management Platform 2 - 3scale-amp-apicast-gateway-container 7. CVSS评分: - CVSS v3 Base Score: 5.9 - CVSS v3 Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 8. 常见问题: - 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? - 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复此漏洞的补丁? - 如果我的产品被列为“无法修复”,我该怎么办? - 如果我的产品被列为“修复推迟”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但不在上述列表中,是否受影响? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 其他信息 外部参考: - CVE-2024-10295 - NVD详细信息 免责声明: - 本页面由系统自动生成,未进行错误或遗漏的检查。 - 有关澄清或更正,请联系Red Hat Product Security。 版权: - CVE描述版权 © 2021