PT-2026-36896 · Unknown · Prometheus

Brettgervasoni

·

Publicado

2026-05-04

·

Atualizado

2026-06-03

·

CVE-2026-42151

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Prometheus versões anteriores a 3.5.3 Prometheus versões anteriores a 3.11.3
Descrição O campo client secret na configuração OAuth de gravação remota do Azure AD (storage/remote/azuread) foi incorretamente tipificado como uma string em vez de Secret. Consequentemente, quando a configuração é fornecida através do endpoint da API HTTP '/-/config', o segredo do cliente OAuth do Azure é exposto em texto simples para qualquer usuário ou processo com acesso a esse endpoint, pois o Prometheus redige apenas campos explicitamente tipificados como Secret.
Recomendações Atualizar para a versão 3.5.3. Atualizar para a versão 3.11.3.

Correção

Cleartext Storage of Sensitive Information

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-312CWE-200

Identificadores relacionados

BIT-PROMETHEUS-2026-42151
CLEANSTART-2026-AP95632
CLEANSTART-2026-AX33738
CLEANSTART-2026-MV81821
CLEANSTART-2026-PM88731
CLEANSTART-2026-QS87161
CLEANSTART-2026-TL66481
CVE-2026-42151
GHSA-WG65-39GG-5WFJ
OPENSUSE-SU-2026:10676-1

Produtos afetados

Prometheus