PT-2026-41961 · Hyperledger+1 · Fabric-Chaincode-Java+1
Publicado
2026-05-19
·
Atualizado
2026-06-08
·
CVE-2026-45581
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
fabric-chaincode-java versões 2.3.1 até 2.5.9
Description
Quando o chaincode é implantado no modo chaincode-as-a-service com TLS habilitado, a compactação de logs de nível INFO do servidor de chaincode inclui a senha da chave privada TLS em texto simples. Um invasor com acesso aos logs do servidor de chaincode poderia recuperar essa senha e, se também obtiver a chave privada TLS, personificar o servidor de chaincode.
Recommendations
Atualizar para a versão 2.5.10.
Redigir ou remover logs existentes que contenham a senha da chave privada TLS.
Alterar a senha da chave privada TLS.
Restringir o nível de log para WARNING ou superior para evitar que logs de nível INFO sejam gravados.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fabric-Chaincode-Java
Org.Hyperledger.Fabric-Chaincode-Java:Fabric-Chaincode-Shim