从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Potential to manipulate headers from external sources - 严重性:Moderate - CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Unchanged - Confidentiality: Low - Integrity: Low - Availability: None - CVE ID:CVE-2024-45806 - 影响版本:< 1.32.0 - 修复版本:1.31.2, 1.30.6, 1.29.9, 1.28.7 2. 漏洞细节: - 总结:Envoy的默认配置允许外部客户端操纵Envoy头部,可能导致未经授权的访问或其他恶意行为。 - 描述:Envoy的默认行为处理内部地址的方式已更改。 - 影响:成功利用可能导致攻击者绕过安全控制、访问敏感数据或破坏服务。 3. 报告者: - James Force - Mike Whale 4. PoC: - 使用默认边缘入口点Envoy配置。 - 示例命令: - 结果: 被信任。 这些信息提供了关于漏洞的详细描述、影响范围和修复建议。