Istio包含了一个可远程利用的漏洞。当使用基于路径的授权规则时,具有多个斜杠或转义的斜杠字符(%2F或%5C)的HTTP请求路径可能会绕过Istio授权策略,导致授权失败。本文介绍CVE-2021-31920漏洞的影响范围以及防范措施。

关于CVE-2021-31920漏洞的详细描述,请参见ISTIO-SECURITY-2021-005

影响范围

Istio需要同时满足以下两个条件,授权策略就会受此漏洞影响:
  • Istio的版本为1.8.6之前的版本。
  • 使用了基于路径的授权规则,并且在授权规则中使用了多个斜杠或转义的斜杠字符。

漏洞影响

当使用基于路径的授权规则时,具有多个斜杠或转义的斜杠字符(%2F或%5C)的HTTP请求路径可能会绕过Istio授权策略,导致授权失败。

防范措施

将Istio升级到1.8.6及以上版本。