CVE-2024-11217
Oauth-server-container: oauth-server-container logs client secret in debug level
En resumen
El OAuth-server registra secretos confidenciales de clientes en los logs de depuración cuando el modo de debug está habilitado para ciertos servicios de inicio de sesión. Cualquiera con acceso a estos logs podría ver las credenciales sensibles almacenadas.
Detalle técnico
Cuando el logLevel se establece en Debug o superior para configuraciones de IdP (OIDC/GitHub/GitLab/Google), los secretos de cliente OAuth2 se escriben en los logs. Un atacante con acceso de lectura a los registros de aplicación puede extraer estas credenciales y utilizarlas para eludir autenticación o manipular tokens de sesión.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability was found in the OAuth-server. OAuth-server logs the OAuth2 client secret when the logLevel is Debug higher for OIDC/GitHub/GitLab/Google IDPs login options.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →