亚特兰蒂斯日志中的Git凭据泄露(CVE-2024-52009)
CVE编号
CVE-2024-52009利用情况
暂无补丁情况
N/A披露时间
2024-11-09漏洞描述
Atlantis是一个自托管的golang应用程序,它通过webhooks监听Terraform的拉取请求事件。当凭证轮换时,Atlantis日志中包含GitHub凭据(令牌为`ghs_...`)。这使得能够读取这些日志的攻击者可以伪装成Atlantis应用程序并在GitHub上执行操作。当Atlantis用于管理GitHub组织时,这使得攻击者可以获得组织的管理权限。这个问题已在#4060中报告,并在#4667中修复。修复已包含在Atlantis v0.30.0中。建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。解决建议
"将组件 github.com/runatlantis/atlantis 升级至 0.30.0 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
CWE-ID | 漏洞类型 |
CWE-532 | 通过日志文件的信息暴露 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论