CRITICAL🇬🇧 English

CVE-2024-34706

Valtimo: wyciek tokenu JWT użytkownika do zewnętrznej domeny api.form.io

CVSS 9.8v3.1pub. 2024-05-14upd. 2026-04-15

W platformie Valtimo token dostępowy JWT zalogowanego użytkownika jest przesyłany do zewnętrznego serwisu `api.form.io` w nagłówku `x-jwt-token` wskutek błędnej konfiguracji komponentu Form.io. Atakujący, który przechwyci ten token, może pozyskać dane osobowe użytkownika lub wykonywać żądania do API Valtimo w jego imieniu.

Pokaż oryginał (EN)

Valtimo is an open source business process and case management platform. When opening a form in Valtimo, the access token (JWT) of the user is exposed to `api.form.io` via the the `x-jwt-token` header. An attacker can retrieve personal information from this token, or use it to execute requests to the Valtimo REST API on behalf of the logged-in user. This issue is caused by a misconfiguration of the Form.io component. The following conditions have to be met in order to perform this attack: An attacker needs to have access to the network traffic on the `api.form.io` domain; the content of the `x-jwt-token` header is logged or otherwise available to the attacker; an attacker needs to have network access to the Valtimo API; and an attacker needs to act within the time-to-live of the access token. The default TTL in Keycloak is 5 minutes. Versions 10.8.4, 11.1.6 and 11.2.2 have been patched.

🤖 Analiza AI
Jak działa

Podczas otwierania formularza w aplikacji Valtimo, biblioteka frontendowa nieprawidłowo dołącza token JWT użytkownika (nagłówek `x-jwt-token`) do żądań kierowanych do zewnętrznej domeny `api.form.io`. Token ten nie powinien opuszczać zaufanej infrastruktury. Atakujący musi mieć dostęp do ruchu sieciowego na tej domenie lub do logów zawierających wartość nagłówka, a następnie dysponować dostępem sieciowym do API Valtimo. Atak musi zostać przeprowadzony w oknie czasowym ważności tokenu — domyślny TTL w Keycloak wynosi 5 minut.

Skutki

Atakujący może odczytać dane osobowe zawarte w tokenie JWT oraz wykonywać nieautoryzowane żądania do Valtimo REST API z uprawnieniami zaatakowanego użytkownika, co może prowadzić do naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować Valtimo frontend libraries do wersji 10.8.4, 11.1.6 lub 11.2.2, w których błędna konfiguracja komponentu Form.io została poprawiona. Szczegóły dostępne w referencjach producenta (GitHub Security Advisory GHSA-xcp4-62vj-cq3r).

Kogo dotyczy

Valtimo (valtimo-frontend-libraries) — wersje poprzedzające 10.8.4, 11.1.6 oraz 11.2.2

Uwagi

Podatność sklasyfikowana jako CWE-532 (wstawianie wrażliwych informacji do pliku logów / przesyłanie w nagłówkach). Warunki przeprowadzenia ataku wymagają dostępu do ruchu sieciowego lub logów domeny api.form.io oraz działania w oknie 5 minut (domyślny TTL tokenu Keycloak), co ogranicza praktyczną exploitowalność mimo wysokiego wyniku CVSS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje