El repositorio Amazon.ApplicationLoadBalancer.Identity.AspNetCore contiene middleware para uso con la integración de OpenId Connect del Application Load Balancer en implementaciones de ASP.NET Core. Sin embargo, el código de manejo de JWT del repositorio tiene una vulnerabilidad de seguridad, ya que no valida la identidad del emisor y firmante del JWT. Esta vulnerabilidad se puede explotar si el propietario de la infraestructura permite tráfico de Internet a los objetivos del ALB, lo que permite que una entidad no confiable firme JWT y simule sesiones OIDC-federadas válidas. Todas las versiones del repositorio están afectadas por esta vulnerabilidad. El repositorio ha sido descontinuado y ya no tiene soporte activo. Como una buena práctica de seguridad, los usuarios deben asegurarse de que sus objetivos ELB no tengan direcciones IP públicas. Además, los usuarios deben validar que el atributo firmante en el JWT coincida con el ARN del Application Load Balancer. Esta validación es crucial para prevenir violaciones de seguridad. La documentación del ALB proporciona orientación sobre cómo verificar la firma y validar el campo firmante en el encabezado del JWT. Se ha asignado un CVE a esta vulnerabilidad, CVE-2024-10125. Los usuarios con preguntas o inquietudes de seguridad pueden enviar un correo electrónico a [email protected] para obtener asistencia.