PT-2021-23070 · Travis Ci · Travis Ci
Péter Szilágyi
+1
·
Publicado
2021-09-14
·
Atualizado
2021-09-29
·
CVE-2021-41077
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Travis CI de 03/09/2021 a 10/09/2021
Descrição
O processo de ativação no Travis CI faz com que dados confidenciais sejam compartilhados de forma inesperada, o que não está especificado no arquivo .travis.yml controlado pelo cliente. Isso permite que um agente não autorizado que tenha feito um fork de um repositório público e impresso arquivos durante um processo de compilação revele dados confidenciais do ambiente específicos do cliente, como chaves de assinatura, credenciais de acesso e tokens de API.
Recomendações
Para as versões do Travis CI de 03/09/2021 a 10/09/2021, considere restringir o acesso a dados confidenciais e variáveis de ambiente até que uma correção esteja disponível. Como solução alternativa temporária, evite usar dados confidenciais nas compilações durante esse período. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Travis Ci