Inicio / Alerta Temprana / Avisos Seguridad / Alteración de URL del backend en Lura Project

Alteración de URL del backend en Lura Project

Fecha de publicación: 
29/07/2022
Identificador: 
INCIBE-2022-0850
Importancia: 
3 - Media
Recursos afectados: 
  • Lura and KrakenD-CE, versiones anteriores a la 2.0.2;
  • KrakenD-EE versiones anteriores a la 2.0.0.
Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en Lura Project, con el código interno INCIBE-2022-0850, que ha sido descubierta por el usuario Fepame de GitHub.

A esta vulnerabilidad se le ha asignado el código CVE-2022-1561. Se ha calculado una puntuación base CVSS v3.1 de 4,0, siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N.

Solución: 
  • Los usuarios de Lura Project and KrakenD-CE deben actualizar a la versión 2.0.2 o superiores;
  • los usuarios de KrakenD-EE deben actualizar a la versión 2.0.0 o superiores.
Detalle: 

Las versiones de Lura and KrakenD-CE, anteriores a 2.0.2 y KrakenD-EE, anteriores a 2.0.0, no sanean correctamente los parámetros de la URL, permitiendo a un atacante alterar la URL del backend definida por una tubería cuando los usuarios remotos envían peticiones URL especialmente diseñadas.

La vulnerabilidad no afecta propiamente a KrakenD, pero el backend consumido podría ser vulnerable.

CWE-471: modificación de datos supuestamente inmutables.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración