CVE-2026-44516

Nome do Software Vulnerável e Versões Afetadas Valtimo versões 12.4.0 até 12.32.0 Valtimo versões 13.0.0 até 13.25.0

Description O LoggingRestClientCustomizer no módulo web intercepta automaticamente todas as chamadas HTTP externas feitas via RestClient do Spring e registra o corpo completo da requisição, o corpo da resposta e os cabeçalhos da resposta. Quando uma resposta de erro é recebida, essas informações são incluídas na mensagem HttpClientErrorException, que é registrada no nível ERROR pelo tratamento de exceções padrão do Spring, independentemente da configuração do nível de log DEBUG da aplicação. Isso pode levar à exposição de dados sensíveis, como credenciais de autenticação (tokens JWT, chaves de API, tokens OAuth), dados pessoais (BSN, endereços de e-mail, detalhes de casos) e tokens de sessão em cabeçalhos de resposta Set-Cookie. Essas informações estão acessíveis a qualquer pessoa com acesso aos logs da aplicação, ferramentas de agregação de logs ou usuários do Valtimo com a função de administrador. O problema está localizado na função intercept de com.ritense.valtimo.web.logging.LoggingRestClientCustomizer.

Recommendations Atualize para a versão 12.33.0. Atualize para a versão 13.26.0. Restrinja o acesso aos logs da aplicação e ao módulo de logging do Valtimo. Ajuste o nível de log para com.ritense.valtimo.web.logging para WARN ou superior.