Vulnerabilidad en Terraform Provider Debug Logs (CVE-2026-27900)

El proveedor de Terraform para Linode versiones anteriores a la v3.9.0 registró información sensible, incluyendo algunas contraseñas, contenido de StackScript y datos de almacenamiento de objetos, en los registros de depuración sin redacción. El registro de depuración del proveedor no está habilitado por defecto. Este problema se expone cuando los registros de depuración/proveedor se habilitan explícitamente (por ejemplo, en la resolución de problemas local, trabajos de CI/CD o recolección centralizada de registros). Si está habilitado, los valores sensibles pueden escribirse en los registros y luego retenerse, compartirse o exportarse más allá del entorno de ejecución original. Un usuario autenticado con acceso a los registros de depuración del proveedor (a través de sistemas de agregación de registros, pipelines de CI/CD o salida de depuración) podría así extraer estas credenciales sensibles. Las versiones 3.9.0 y posteriores sanean los registros de depuración registrando solo metadatos no sensibles como etiquetas, regiones e IDs de recursos, mientras redactan credenciales, tokens, claves, scripts y otro contenido sensible. Algunas otras mitigaciones y soluciones alternativas están disponibles. Deshabilite el registro de depuración de Terraform/proveedor o configúrelo al nivel WARN o superior, restrinja el acceso a los registros existentes e históricos, purgue/recorte por retención los registros que puedan contener valores sensibles, y/o rote los secretos/credenciales potencialmente expuestos.