CVE-2022-31162

Slack Morphism for Rust before 0.41.0 can accidentally leak Slack OAuth client information in application debug logs

CVSS 7.5 HIGHEPSS 0.7%CWE-1258 CWE-200

Em resumo

Slack Morphism para Rust antes da versão 0.41.0 podia expor acidentalmente segredos confidenciais de OAuth em logs de debug da aplicação, permitindo que qualquer pessoa com acesso aos logs comprometesse integrações do Slack.

Detalhe técnico

A formatação de debug da biblioteca para tipos de segredo OAuth era insuficientemente restritiva, permitindo que credenciais sensíveis de cliente fossem impressas em logs via saída de debug padrão do Rust. Um atacante com acesso de leitura aos logs da aplicação poderia extrair segredos OAuth para se passar pela aplicação ou ganhar acesso não autorizado à API do Slack. A vulnerabilidade foi corrigida na v0.41.0 implementando formatação de debug mais rigorosa que oculta campos sensíveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Slack Morphism is an async client library for Rust. Prior to 0.41.0, it was possible for Slack OAuth client information to leak in application debug logs. Stricter and more secure debug formatting was introduced in v0.41.0 for OAuth secret types to reduce the possibility of printing sensitive information in application logs. As a workaround, do not print/output requests and responses for OAuth and client configurations in logs.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

abdolence · slack-morphism-rust

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/abdolence/slack-morphism-rust/releases/tag/v0.41.0 https://github.com/abdolence/slack-morphism-rust/security/advisories/GHSA-99j7-mhfh-w84p