PT-2022-16155 · Sourcegraph · Sourcegraph
Publicado
2022-02-15
·
Atualizado
2022-02-24
·
CVE-2022-23643
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.35 a 3.36.2 do Sourcegraph
Descrição
O problema está relacionado a uma vulnerabilidade de canal lateral no recurso Code Monitoring, na qual strings no código-fonte privado poderiam ser adivinhadas por um agente autenticado, mas não autorizado. Um ataque bem-sucedido exigiria a criação de muitos Code Monitors para receber a confirmação de que uma string específica existe, permitindo potencialmente que um invasor adivinhe tokens formatados no código-fonte, como chaves de API.
Recomendações
Para as versões 3.35 a 3.36.2 do Sourcegraph, atualize para a versão 3.35.2 ou 3.36.3 para resolver o problema.
Como solução alternativa temporária para aqueles que não podem atualizar, considere desativar o recurso Code Monitor na instalação.
Exploit
Correção
Information Disclosure
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sourcegraph