Vulnerabilidad en Power Platform Terraform Provider (CVE-2024-47083)

Power Platform Terraform Provider permite administrar entornos y otros recursos dentro de Power Platform. Las versiones anteriores a 3.0.0 tienen un problema en Power Platform Terraform Provider donde la información confidencial, específicamente el `client_secret` usado en la autenticación de la entidad de servicio, puede quedar expuesta en los registros. Esta exposición ocurre debido a un error en el código de registro que hace que el `client_secret` no se enmascare correctamente cuando se conservan o visualizan los registros. Los usuarios deben actualizar a la versión 3.0.0 para recibir una versión parcheada del proveedor que elimine todo el registro de contenido confidencial. Los usuarios que hayan usado este proveedor con las versiones afectadas deben tomar las siguientes medidas adicionales para mitigar el riesgo: Rote inmediatamente el `client_secret` para cualquier entidad de servicio que se haya configurado usando este proveedor de Terraform. Esto invalidará cualquier secreto potencialmente expuesto. Aquellos que hayan configurado la variable de entorno `TF_LOG_PATH` o Terraform para conservar los registros en un archivo o un sistema externo, consideren deshabilitar esto hasta que hayan actualizado a una versión fija del proveedor. Quienes tengan registros existentes que puedan contener el `client_secret` deben eliminarlos o desinfectarlos para evitar el acceso no autorizado. Esto incluye registros en el disco, en sistemas de monitoreo o en servicios de registro.