PT-2022-24241 · Hashicorp · Hashicorp Consul Template
Fulton Byrne
·
Publicado
2022-08-17
·
Atualizado
2022-09-21
·
CVE-2022-38149
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
HashiCorp Consul Template versões 0.27.2 e anteriores, 0.28.2 e anteriores, 0.29.1 e anteriores
Descrição
O problema diz respeito à possível exposição de segredos do Vault em mensagens de erro retornadas pelo método
*template.Template.Execute quando um modelo que utiliza o conteúdo de segredos do Vault é usado incorretamente. Isso pode levar à revelação de informações confidenciais em logs ou relatórios de erro. O problema surge quando modelos inválidos são usados, fazendo com que o método inclua inadvertidamente segredos do Vault na string de erro.Recomendações
Para as versões 0.27.2 e anteriores do HashiCorp Consul Template, atualize para a versão 0.27.3 ou posterior.
Para as versões 0.28.2 e anteriores do HashiCorp Consul Template, atualize para a versão 0.28.3 ou posterior.
Para as versões 0.29.1 e anteriores do HashiCorp Consul Template, atualize para a versão 0.29.2 ou posterior.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hashicorp Consul Template