CVE-2023-49113

Kiuwan SAST: versões anteriores à versão corrigida

Kiuwan Local Analyzer (KLA) (versões afetadas não especificadas)

O aplicativo de varredura Java Kiuwan Local Analyzer (KLA) contém vários segredos codificados de forma rígida em formato de texto simples, o que pode comprometer a confidencialidade dos resultados da varredura. Foram encontradas credenciais nos arquivos JAR, incluindo insight.github.user e insight.github.password no arquivo “InsightServicesConfig.properties”, e uma chave de criptografia no arquivo “es/als/security/Encryptor.properties”. Pelo menos um nome de usuário especificado corresponde a uma conta válida do GitHub.

Para o Kiuwan SAST, atualize para uma versão que inclua a correção para este problema.

Para o Kiuwan Local Analyzer (KLA), considere remover ou armazenar com segurança os segredos codificados, como insight.github.user e insight.github.password, e a chave de criptografia no arquivo “es/als/security/Encryptor.properties”, até que um patch esteja disponível.

Como solução alternativa temporária, restrinja o acesso ao arquivo “lib.engine/insight/optimyth-insight.jar” e seu conteúdo para minimizar o risco de exploração.