Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Snyk (CVE-2025-6624)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
26/06/2025
Última modificación:
09/07/2025

Descripción

Las versiones del paquete snyk anteriores a la 1.1297.3 son vulnerables a la inserción de información confidencial en el archivo de registro a través de los registros de depuración locales de la CLI de Snyk. Las credenciales del Registro de Contenedores proporcionadas mediante variables de entorno o argumentos de la línea de comandos pueden quedar expuestas al ejecutar la CLI de Snyk en modo DEBUG o DEBUG/TRACE. El problema afecta a los siguientes comandos de Snyk: 1. Al ejecutar los comandos snyk container test o snyk container monitor en un registro de contenedores con el modo de depuración habilitado, las credenciales del registro de contenedores pueden escribirse en el registro de depuración local de la CLI de Snyk. Esto solo ocurre con las credenciales especificadas en las variables de entorno (SNYK_REGISTRY_USERNAME y SNYK_REGISTRY_PASSWORD) o en la CLI (--password/-p y --username/-u). 2. Cuando se ejecuta el comando snyk auth con el modo de depuración habilitado y el nivel de registro establecido en TRACE, los tokens de credenciales de acceso/actualización de Snyk utilizados para conectar la CLI a Snyk pueden escribirse en los registros de depuración de la CLI local. 3. Cuando se ejecuta la prueba snyk iac con un paquete de reglas personalizadas de IAC remoto, con el modo de depuración habilitado y el nivel de registro establecido en TRACE, el token de registro de Docker puede escribirse en los registros de depuración de la CLI local.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:H/SI:H/SA:H/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.40 BAJA
Vector: CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:H/SI:H/SA:H/E:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Exploit Maturity (E): POC

Puntuación base 4.0
2.40
Gravedad 4.0
BAJA
Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.20
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:snyk:snyk_cli:*:*:*:*:*:*:*:* 1.1297.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información