CVE-2024-35223

Dapr API Token Exposure

Severity Score

5.3

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Attend

*SSVC

Descriptions

Dapr is a portable, event-driven, runtime for building distributed applications across cloud and edge. Dapr sends the app token of the invoker app instead of the app token of the invoked app. This causes of a leak of the application token of the invoker app to the invoked app when using Dapr as a gRPC proxy for remote service invocation. This vulnerability impacts Dapr users who use Dapr as a gRPC proxy for remote service invocation as well as the Dapr App API token functionality. An attacker could exploit this vulnerability to gain access to the app token of the invoker app, potentially compromising security and authentication mechanisms. This vulnerability was patched in version 1.13.3.

Dapr es un tiempo de ejecución portátil, controlado por eventos, para crear aplicaciones distribuidas en la nube y en el perímetro. Dapr envía el token de aplicación de la aplicación invocadora en lugar del token de aplicación de la aplicación invocada. Esto provoca una fuga del token de aplicación de la aplicación invocadora a la aplicación invocada cuando se usa Dapr como proxy gRPC para la invocación de servicios remotos. Esta vulnerabilidad afecta a los usuarios de Dapr que usan Dapr como proxy gRPC para la invocación de servicios remotos, así como a la funcionalidad del token API de la aplicación Dapr. Un atacante podría aprovechar esta vulnerabilidad para obtener acceso al token de la aplicación invocadora, lo que podría comprometer los mecanismos de seguridad y autenticación. Esta vulnerabilidad fue parcheada en la versión 1.13.3.

*Credits: N/A

CVSS Scores

GitHubv3.1 5.3

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

Low

Integrity

None

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Attend

Exploitation

Poc

Automatable

Yes

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-05-14 CVE Reserved
2024-05-23 CVE Published
2024-05-24 EPSS Updated
2024-08-02 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

CAPEC

References (5)

URL	Tag	Source
https://github.com/dapr/dapr/commit/e0591e43d0cdfd30a2f2960dce5d9892dc98bc2c	X_refsource_misc
https://github.com/dapr/dapr/issues/7344	X_refsource_misc
https://github.com/dapr/dapr/pull/7404	X_refsource_misc
https://github.com/dapr/dapr/releases/tag/v1.13.3	X_refsource_misc
https://github.com/dapr/dapr/security/advisories/GHSA-284c-x8m7-9w5h	X_refsource_confirm

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Dapr Search vendor "Dapr"		Dapr Search vendor "Dapr" for product "Dapr"				>= 1.13.0 < 1.13.3 Search vendor "Dapr" for product "Dapr" and version " >= 1.13.0 < 1.13.3"		en		Affected