CVE-2024-38516

Aimeos HTML client may potentially reveal sensitive information in error log

CVSS 8.8 HIGHEPSS 0.5%CWE-1295

En resumen

El cliente HTML de Aimeos (plataforma de comercio electrónico) estaba registrando información sensible de variables de entorno en los registros de error cuando el modo de depuración estaba habilitado, exponiendo potencialmente secretos como claves de API o credenciales de base de datos a cualquier persona con acceso a esos registros.

Detalle técnico

Vulnerabilidad CWE-1295 en el componente ai-client-html de Aimeos donde el manejo inadecuado de información de depuración causa la exposición de variables de entorno sensibles en registros de error. El vector de ataque es el acceso local/adyacente a registros de error; requiere modo de depuración habilitado como precondición. El impacto incluye divulgación de credenciales y secretos de configuración.

Resumen generado y traducido por IA a partir de la descripción oficial.

ai-client-html is an Aimeos e-commerce HTML client component. Debug information revealed sensitive information from environment variables in error log. This issue has been patched in versions 2024.04.7, 2023.10.15, 2022.10.13 and 2021.10.22.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

aimeos · ai-client-html

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/aimeos/ai-client-html/commit/bb389620ffc3cf4a2f29c11a1e5f512049e0c132 https://github.com/aimeos/ai-client-html/security/advisories/GHSA-ppm5-jv84-2xg2