CNNVD-ID编号 | CNNVD-202207-2759 |
CVE编号 | CVE-2022-24912 |
发布时间 | 2022-07-29 |
更新时间 | 2022-08-01 |
漏洞类型 | 其他 |
漏洞来源 | N/A |
危险等级 | 高危 |
威胁类型 | N/A |
厂 商 | N/A |
Atlantis是Atlantis开源的一个自托管的 golang 应用程序。通过 webhook 监听 Terraform 拉取请求事件。 Atlantis 0.19.7之前版本存在安全漏洞,该漏洞源于软件包github.com/runatlantis/atlantis/server/controllers/events在webhook事件验证器代码中存在Timing Attack漏洞,该代码没有使用恒定时间比较函数来验证webhook密钥,它可以让攻击者以攻击者的身份恢复这个秘密,然后伪造webhook事件。
暂无