PT-2021-19472 · Cloudera · Cloudera Data Engineering
Publicado
2021-03-15
·
Atualizado
2021-03-18
·
CVE-2021-3167
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Cloudera Data Engineering versão 1.3.0
Descrição
O problema diz respeito à exposição de tokens de autenticação JWT aos administradores nos logs do servidor do cluster virtual. Isso afeta o Cloudera Data Engineering, onde informações confidenciais são registradas inadvertidamente, o que pode permitir o acesso não autorizado.
Recomendações
Para o Cloudera Data Engineering versão 1.3.0, considere restringir o acesso aos logs do servidor de cluster virtual para minimizar o risco de exploração e revise as configurações de log para impedir o registro de tokens de autenticação confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cloudera Data Engineering