PT-2022-5024 · Slack · Slack Morphism
Abdolence
·
Publicado
2022-10-10
·
Atualizado
2022-10-11
·
CVE-2022-39292
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Slack Morphism anteriores à 1.3.2
Descrição
O problema está relacionado à exposição de informações confidenciais nos registros de depuração. Especificamente, os registros de depuração podem conter URLs confidenciais de webhooks do Slack que incluem informações privadas. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas.
Recomendações
Para versões anteriores à 1.3.2, atualize para a versão 1.3.2, que oculta URLs confidenciais para webhooks.
Como solução alternativa temporária, considere desativar ou filtrar os logs de depuração, especialmente ao usar webhooks do Slack, ajustando o nível de log de rastreamento e os filtros.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Slack Morphism