PT-2022-20577 · Slack · Slack Morphism
Abdolence
·
Publicado
2022-07-20
·
Atualizado
2023-07-24
·
CVE-2022-31162
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Slack Morphism anteriores à 0.41.0
Descrição
O problema diz respeito ao possível vazamento de informações do cliente OAuth do Slack nos registros de depuração do aplicativo, devido a uma formatação insegura desses registros. Isso poderia levar à exposição acidental de informações confidenciais. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões anteriores à 0.41.0, atualize para a versão 0.41.0 ou posterior para implementar uma formatação de depuração mais rigorosa e segura para tipos de segredos OAuth.
Como solução alternativa temporária, não imprima/exiba solicitações e respostas para configurações de OAuth e do cliente nos logs.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Slack Morphism