ISTIO-SECURITY-2025-003
Envoy 上报的 CVE 漏洞。
| 安全漏洞详情 | |
|---|---|
| CVE | CVE-2025-66220 CVE-2025-64527 CVE-2025-64763 |
| CVSS 影响评分 | 8.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| 受影响的版本 | 1.28.0 1.27.0 to 1.27.3 1.26.0 to 1.26.6 |
CVE
Envoy CVE
- CVE-2025-66220: (CVSS score 8.1, High):
match_typed_subject_alt_names的 TLS 证书匹配器可能会错误地将包含嵌入空字节的OTHERNAMESAN 的证书视为有效证书。 - CVE-2025-64527: (CVSS score 6.5, Medium):当配置 JWT 身份验证并使用远程 JWKS 获取时,Envoy 崩溃。
- CVE-2025-64763: (CVSS score 5.3, Medium):CONNECT 升级后早期数据中可能存在请求走私的情况
我受到影响了吗?
如果您使用 Istio 接收 WebSocket 流量,则在 CONNECT 升级后,
您可能容易受到早期数据请求走私攻击。如果您使用带有 OTHERNAME SAN
的自定义证书或使用 EnvoyFilter 进行远程 JWKS 获取的自定义 JWT 身份验证,
也可能存在这种风险。