CVE-2025-24355

Nome do Software Vulnerável e Versões Afetadas Versões do Updatecli anteriores à 0.93.0

Descrição O problema envolve o vazamento de credenciais de repositório Maven privado nos logs da aplicação quando a execução de um pipeline do Updatecli falha. Isso ocorre quando o pipeline contém uma origem maven configurada com credenciais de autenticação básica e há uma falha no repositório Maven, como coordenadas incorretas fornecidas ou um artefato ou versão inexistente. As credenciais são devidamente sanitizadas quando a operação é bem-sucedida. O número estimado de dispositivos potencialmente afetados não é mencionado explicitamente, mas o Updatecli registrou mais de 1,2 milhão de downloads.

Detalhes técnicos sobre a exploração incluem o fato de que, durante a execução de um pipeline do Updatecli, as credenciais são vazadas nos logs de execução da aplicação em caso de falha. Por exemplo, quando o campo repository na origem maven é configurado com credenciais de autenticação básica e ocorre um erro, as credenciais podem ser expostas nos logs.

Recomendações Para versões do Updatecli anteriores à 0.93.0, atualize para a versão 0.93.0 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de credenciais de autenticação básica no campo repository da origem maven até que o problema seja resolvido. Restrinja o acesso aos logs da aplicação para minimizar o risco de exposição das credenciais.