PT-2025-9877 · Ray+1 · Ray+1
Letao Jiang
·
Publicado
2025-03-06
·
Atualizado
2025-03-06
·
CVE-2025-1979
CVSS v3.1
6.4
Média
| Vetor | AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
versões do Ray anteriores à 2.43.0
Descrição
O problema refere-se à inserção de informações sensíveis em arquivos de log, especificamente a senha do Redis sendo registrada no logging padrão. Isso ocorre quando a senha do Redis é passada como um argumento. A senha pode potencialmente vazar se os logs estiverem acessíveis a um invasor. Isso só é explorável se o logging estiver habilitado, o Redis usar autenticação por senha e os logs estiverem acessíveis a um invasor.
Recomendações
Para versões anteriores à 2.43.0, atualize para a versão mais recente do Ray e, em seguida, rotacione a senha do Redis. Como solução temporária, considere desabilitar o logging ou restringir o acesso aos logs para minimizar o risco de exploração.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redis
Ray