CVE-2024-38516
Aimeos HTML client may potentially reveal sensitive information in error log
Em resumo
O cliente HTML do Aimeos (plataforma de e-commerce) estava registrando informações sensíveis de variáveis de ambiente nos logs de erro quando o modo de debug estava ativado, expondo potencialmente segredos como chaves de API ou credenciais de banco de dados para qualquer pessoa com acesso aos logs.
Detalhe técnico
Vulnerabilidade CWE-1295 no componente ai-client-html do Aimeos onde o tratamento inadequado de informações de debug causa a exposição de variáveis de ambiente sensíveis nos logs de erro. O vetor de ataque é acesso local/adjacente aos logs de erro; requer modo debug ativado como pré-condição. O impacto inclui divulgação de credenciais e segredos de configuração.
Resumo gerado e traduzido por IA a partir da descrição oficial.
ai-client-html is an Aimeos e-commerce HTML client component. Debug information revealed sensitive information from environment variables in error log. This issue has been patched in versions 2024.04.7, 2023.10.15, 2022.10.13 and 2021.10.22.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
aimeos · ai-client-htmlQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →