anonhaven

CVE-2026-31837

HIGH CVSS 4.0: 8,7 EPSS 0.05%
Обновлено 10 марта 2026
Istio
Параметр Значение
CVSS 8,7 (HIGH)
Устранено в версии 1.29.1
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик Istio
Публичный эксплойт Нет

Istio — это открытая платформа для подключения, управления и защиты микросервисов. До версий 1.29.1, 1.28.5 и 1.27.8 на пользователя Istio влияет, если сопоставитель JWKS становится недоступным или происходит сбой выборки, что приводит к раскрытию жестко запрограммированных значений по умолчанию независимо от использования ресурса RequestAuthentication. Эта уязвимость исправлена ​​в версиях 1.29.1, 1.28.5 и 1.27.8.

Показать оригинальное описание (EN)

Istio is an open platform to connect, manage, and secure microservices. Prior to 1.29.1, 1.28.5, and 1.27.8, a user of Istio is impacted if the JWKS resolver becomes unavailable or the fetch fails, exposing hardcoded defaults regardless of use of the RequestAuthentication resource. This vulnerability is fixed in 1.29.1, 1.28.5, and 1.27.8.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Ссылки 1

https://github.com/istio/istio/security/advisories/GHSA-v75c-crr9-733c
security-advisories@github.com
Share Post Share Share Share