Георгий Носеевич обнаружил уязвимость в платформе Jaeger

Эксперт SolidLab Георгий Носеевич обнаружил уязвимость в платформе Jaeger, которая широко используется для распределенной трассировки, то есть отслеживания и устранения проблем во взаимосвязанных компонентах и микросервисах.

Недостаток класса stored XSS в пользовательском интерфейсе Jaeger‑UI позволял злоумышленнику, контролирующему содержимое сохраняемой в jaeger трассы, выполнять от имени пользователя интерфейса jaeger‑ui произвольные запросы jaeger query и проводить эксфильтрацию данных. Это потенциально могло привести к компрометации содержимого трасс.

Вендор выпустил обновления с исправлением уязвимости. Разработчикам рекомендуется использовать обновленную версию ПО (1.47.0 для jaeger и 1.31.0 для jaeger‑ui), опубликованную в официальном репозитории разработчика.

Процесс раскрытия прошел в постоянном контакте с представителями команды безопасности Jaeger. Для раскрытия использовалась платформа github security (идентификаторы на платформе github: GHSA-vv24-rm95-q56r и GHSA-2w8w-qhg4-f78j).

Недостатку присвоен идентификатор CVE‑2023‑36656.


Cyber Media: Эксперт SolidLab обнаружил уязвимость в платформе Jaeger