Vulnerabilidad en Traefik (CVE-2022-23469)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-532 Exposición de información a través de archivos de log

Fecha de publicación:

08/12/2022

Última modificación:

12/12/2022

Descripción

Traefik es un equilibrador de carga y proxy inverso HTTP de código abierto. Las versiones anteriores a la 2.9.6 están sujetas a una vulnerabilidad potencial en Traefik al mostrar el encabezado Autorización en sus registros de depuración. En ciertos casos, si el nivel de registro está configurado en DEBUG, las credenciales proporcionadas mediante el encabezado Autorización se muestran en los registros de depuración. Los atacantes deben tener acceso al sistema de registro de usuarios para poder robar las credenciales. Este problema se solucionó en la versión 2.9.6. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden configurar el nivel de registro en "INFO", "ADVERTENCIA" o "ERROR".

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno