CVE-2024-11217
Oauth-server-container: oauth-server-container logs client secret in debug level
Em resumo
O OAuth-server registra segredos confidenciais de clientes nos logs de depuração quando o modo de debug está ativado para serviços de login. Qualquer pessoa com acesso aos logs de depuração pode ver as credenciais sensíveis armazenadas ali.
Detalhe técnico
A vulnerabilidade causa exposição de segredos OAuth2 em logs quando o logLevel está configurado como Debug ou superior para IdPs OIDC/GitHub/GitLab/Google. Um atacante com acesso de leitura aos logs da aplicação pode extrair essas credenciais e utilizá-las para contornar autenticação ou manipular tokens.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability was found in the OAuth-server. OAuth-server logs the OAuth2 client secret when the logLevel is Debug higher for OIDC/GitHub/GitLab/Google IDPs login options.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →