PT-2024-1505 · Unknown · Goreleaser
Andreaangiolillo
·
Publicado
2024-01-30
·
Atualizado
2024-02-13
·
CVE-2024-23840
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GoReleaser anteriores à 1.24.0
Descrição
O problema está relacionado à divulgação de informações por meio de arquivos de log. Ao usar um publisher personalizado com
goreleaser release --debug, os valores confidenciais utilizados no publisher personalizado são exibidos no log. Isso poderia permitir que um invasor divulgasse informações protegidas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.Recomendações
Para versões anteriores à 1.24.0, atualize para a versão 1.24.0 para resolver o problema.
Como solução alternativa temporária, considere evitar o uso do sinalizador
--debug com goreleaser release para minimizar o risco de valores secretos serem impressos no log.Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Goreleaser