PT-2026-53003 · Fluentd+1 · Fluentd

Publicado

2026-06-26

·

Atualizado

2026-07-08

·

CVE-2026-44025

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Fluentd versões anteriores a 1.19.3
Description O plugin Monitor Agent in monitor agent expõe métricas internas e informações de plugins por meio de uma API REST. As respostas do endpoint /api/plugins.json e endpoints relacionados incluem involuntariamente variáveis de instância internas de plugins carregados. Se os plugins armazenarem dados sensíveis, como senhas de banco de dados, chaves de API ou credenciais de nuvem nessas variáveis, as informações podem ser expostas em texto simples para qualquer usuário ou sistema com acesso HTTP à porta da API do Monitor Agent (padrão 24220).
Recommendations Atualize para a versão 1.19.3. Garanta que o Monitor Agent esteja vinculado ao localhost (127.0.0.1) em vez de 0.0.0.0 para restringir o acesso. Use regras de firewall para bloquear o acesso à porta do Monitor Agent 24220 a partir de redes não confiáveis.

Correção

Information Disclosure

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44025
GHSA-PR7J-96CJ-549H

Produtos afetados

Fluentd