CVE-2024-47083

Versões do Power Platform Terraform Provider anteriores à 3.0.0

O Power Platform Terraform Provider apresenta uma falha em que informações confidenciais, especificamente o client secret usado na autenticação da entidade de serviço, podem ser expostas nos logs devido a um erro no código de registro. Essa exposição ocorre quando os logs são armazenados ou visualizados, fazendo com que o client secret não seja mascarado adequadamente. Os usuários devem atualizar para a versão 3.0.0 para receber uma versão corrigida do provedor que remove todo o registro de conteúdo confidencial. Para mitigar o risco, os usuários que utilizaram este provedor com as versões afetadas devem imediatamente atualizar o client secret para qualquer entidade de serviço que tenha sido configurada usando este provedor Terraform.

Atualize para a versão 3.0.0 para receber uma versão corrigida do provedor.

Atualize imediatamente o client secret para qualquer entidade de serviço que tenha sido configurada usando este provedor Terraform.

Considere desativar a variável de ambiente TF LOG PATH ou a persistência de logs do Terraform em um arquivo ou sistema externo até que uma versão corrigida do provedor seja atualizada.

Remova ou limpe os logs existentes que possam conter o client secret para impedir o acesso não autorizado.