PT-2024-20535 · Open-Irs · Open-Irs
Degamisu
·
Publicado
2024-02-02
·
Atualizado
2024-02-10
·
CVE-2024-24757
CVSS v3.1
7.6
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do open-irs anteriores à 1.0.1
Descrição
O problema diz respeito a um arquivo
.env carregado acidentalmente ao trabalhar com o Git Actions, o qual contém informações confidenciais. Esse problema foi corrigido na versão 1.0.1. A solução envolve descontinuar todas as chaves confidenciais e transformá-las em segredos.Recomendações
Para versões anteriores à 1.0.1, atualize para a versão 1.0.1 para resolver o problema. Como solução temporária, considere restringir o acesso às chaves confidenciais no arquivo
.env até que a atualização seja aplicada.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open-Irs