← voltar
CVE-2022-39292

Exposure of sensitive Slack webhook URLs in debug logs and traces

CVSS 7.5 HIGHEPSS 0.7%CWE-1258
Em resumo

A biblioteca Slack Morphism estava registrando URLs sensíveis de webhooks nos logs de depuração, o que poderia expor tokens privados de autenticação do Slack se alguém acessasse esses registros. Isso é perigoso porque qualquer pessoa com acesso aos logs poderia usar essas URLs para enviar mensagens não autorizadas para canais do Slack.

Detalhe técnico

Vulnerabilidade CWE-1258 nas versões anteriores a 1.3.2 do Slack Morphism, onde a funcionalidade de logging de depuração expõe inadvertidamente URLs de webhook contendo credenciais de autenticação. O vetor de ataque requer acesso local ou remoto aos logs de depuração; o impacto inclui invocações de webhook não autorizadas e potencial movimento lateral dentro dos workspaces do Slack. Corrigido pela implementação de redação de URL na saída de depuração.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Slack Morphism is a modern client library for Slack Web/Events API/Socket Mode and Block Kit. Debug logs expose sensitive URLs for Slack webhooks that contain private information. The problem is fixed in version 1.3.2 which redacts sensitive URLs for webhooks. As a workaround, people who use Slack webhooks may disable or filter debug logs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
abdolence · slack-morphism-rust

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/abdolence/slack-morphism-rust/releases/tag/v1.3.2https://github.com/abdolence/slack-morphism-rust/security/advisories/GHSA-4mjx-2gh5-ph8h