Vulnerabilidad en Steeltoe (CVE-2024-40636)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-532 Exposición de información a través de archivos de log

Fecha de publicación:

17/07/2024

Última modificación:

18/07/2024

Descripción

Steeltoe es un proyecto de código abierto que proporciona una colección de librerías que ayudan a los usuarios a crear aplicaciones nativas de la nube de nivel de producción mediante configuración externalizada, descubrimiento de servicios, seguimiento distribuido, gestión de aplicaciones y más. Cuando se utilizan varias URL del servicio del servidor Eureka con autenticación básica y se produce un problema al obtener el registro del servicio, se registra un error con las URL del servicio del servidor Eureka, pero solo se enmascara la primera URL. El código en cuestión es `_logger.LogError(e, "FetchRegistry Failed for Eureka service urls: {EurekaServerServiceUrls}", new Uri(ClientConfig.EurekaServerServiceUrls).ToMaskedString());` en el archivo `DiscoveryClient.cs` que puede filtrarse credenciales en registros. Este problema se solucionó en la versión 3.2.8 del paquete nuget Steeltoe.Discovery.Eureka.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/SteeltoeOSS/security-advisories/security/advisories/GHSA-vmcp-66r5-3pcp