CVE-2022-39351

Versões do Dependency-Track anteriores à 4.6.0

A vulnerabilidade permite que agentes com acesso ao log de auditoria explorem uma falha e obtenham acesso a chaves de API válidas. Isso ocorre quando uma solicitação de API é feita usando uma chave de API válida com permissões insuficientes, fazendo com que a chave de API seja gravada no log de auditoria do Dependency-Track em texto simples. Estima-se que um número significativo de dispositivos possa estar afetado, embora o número exato não seja especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Para versões anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior, na qual apenas os últimos 4 caracteres da chave de API serão registrados, em vez da chave completa. Além disso, recomenda-se verificar os registros históricos para detectar ocorrências desse comportamento e regenerar as chaves de API em caso de vazamento.