PT-2026-53003 · Fluentd+1 · Fluentd
Publicado
2026-06-26
·
Atualizado
2026-07-08
·
CVE-2026-44025
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Fluentd versões anteriores a 1.19.3
Description
O plugin Monitor Agent
in monitor agent expõe métricas internas e informações de plugins por meio de uma API REST. As respostas do endpoint /api/plugins.json e endpoints relacionados incluem involuntariamente variáveis de instância internas de plugins carregados. Se os plugins armazenarem dados sensíveis, como senhas de banco de dados, chaves de API ou credenciais de nuvem nessas variáveis, as informações podem ser expostas em texto simples para qualquer usuário ou sistema com acesso HTTP à porta da API do Monitor Agent (padrão 24220).Recommendations
Atualize para a versão 1.19.3.
Garanta que o Monitor Agent esteja vinculado ao
localhost (127.0.0.1) em vez de 0.0.0.0 para restringir o acesso.
Use regras de firewall para bloquear o acesso à porta do Monitor Agent 24220 a partir de redes não confiáveis.Correção
Information Disclosure
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fluentd