Snowflake Connector for Python 的日志中包含敏感数据(CVE-2024-49750)
CVE编号
CVE-2024-49750利用情况
暂无补丁情况
N/A披露时间
2024-10-25漏洞描述
Python的Snowflake连接器提供了一个接口,用于开发能够连接到Snowflake并执行所有标准操作的Python应用程序。在版本3.12.3之前,当用户将日志级别设置为DEBUG时,连接器可能会记录Duo的通行码(通过`passcode`参数指定)和Azure SAS令牌。此外,如果启用了SecretDetector日志格式化程序,由于存在的漏洞,它无法完全隐藏JWT令牌和某些私钥格式。Snowflake发布了Python的Snowflake连接器版本3.12.3,解决了这个问题。除了升级之外,用户还应该检查日志中是否捕获了任何可能敏感的信息。解决建议
"将组件 snowflake-connector-python 升级至 3.12.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/snowflakedb/snowflake-connector-python/commit/dbc9284a3c03... | |
| https://github.com/snowflakedb/snowflake-connector-python/security/advisories... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-532 | 通过日志文件的信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论