PT-2024-24089 · Stacklok · Minder
Eleftherias
·
Publicado
2024-04-09
·
Atualizado
2024-06-04
·
CVE-2024-31455
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Minder da Stacklok, versões anteriores àquela que inclui a solicitação de pull 2941
Descrição
Uma refatoração recente adicionou a capacidade de registrar repositórios do GitHub em um projeto sem especificar um provedor específico. Infelizmente, a consulta SQL para realizar essa ação estava sem parênteses e selecionava um repositório aleatório. Esse problema permite um vazamento de dados.
Recomendações
Para versões anteriores ao patch da solicitação de pull 2941, reverta para antes do commit
5c381cf ou avance para além do 2eb94e7 para resolver o problema. Como solução temporária, considere restringir o acesso à consulta SQL afetada até que um patch esteja disponível.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Minder