在 Steeltoe.Discovery.Eureka 中获取注册表错误后,基本身份验证凭据泄漏到日志中,并带有 Peer Awareness (CVE-2024-40636)
CVE编号
CVE-2024-40636利用情况
暂无补丁情况
N/A披露时间
2024-07-18漏洞描述
Steeltoe是一个开源项目,提供一系列库,帮助用户利用外部化配置、服务发现、分布式跟踪、应用管理等构建生产级的云原生应用。在使用带有基本身份验证的多个Eureka服务器服务URL时,如果遇到获取服务注册表的问题,会记录带有Eureka服务器服务URL的错误,但只有第一个URL被屏蔽。问题出在`DiscoveryClient.cs`文件中的代码`_logger.LogError(e, "FetchRegistry Failed for Eureka service urls: {EurekaServerServiceUrls}", new Uri(ClientConfig.EurekaServerServiceUrls).ToMaskedString());`,这可能导致凭据泄露到日志中。这个问题已在Steeltoe.Discovery.Eureka NuGet包的3.2.8版本中得到了解决。解决建议
"将组件 steeltoe.discovery.clientcore 升级至 3.0.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/SteeltoeOSS/security-advisories/security/advisories/GHSA-v... |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论