漏洞概述 漏洞编号:CVE-2026-12382 漏洞名称:aap-gateway: missing requestHeadersToRemove allows mTLS bypass via Subject header spoofing 报告日期:2026-06-16 10:09 UTC by OSIDB Bzimport 修改日期:2026-07-15 17:13 UTC 状态:NEW 优先级:high 严重程度:high 组件:vulnerability 硬件:All 操作系统:Linux 目标里程碑:--- 分配给:Product Security QA联系人:--- 文档联系人:--- URL:--- 白板:--- 依赖项:--- 阻塞项:--- Tree/View:depends on / blocked 影响范围 漏洞描述:在AAP Gateway Envoy代理配置中发现了一个漏洞。网关定义了两个路由到EDA外部事件流:/eda/event-streams/(需要有效的TLS客户端证书并添加证书中的Subject标头)和/eda/event-streams/(没有身份验证和ext_authz禁用)。源代码在route.py:255中指定了requestHeadersToRemove,用于非mTLS路由,但该指令在从live X509配置传递给Envoy时缺失。因此,客户端提供的Subject标头被原样转发到EDA后端。未认证的远程攻击者可以向非mTLS路由发送POST请求,并使用与合法客户端证书匹配的伪造Subject标头来绕过mTLS身份验证并注入任意事件到受保护的事件流中。预期的DN在403错误响应体中泄露,当提供错误值时,一旦知道事件流GUID,利用变得简单。注入的事件触发下游规则簿操作,可能包括在管理基础设施上的自动化执行。 修复方案 固定版本:--- 关闭日期:--- 环境:--- 最后关闭:--- 已冻结:--- POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 其他信息 附件:(Terms of Use) 描述: 注意事项 需要登录才能评论或对此漏洞进行更改。