Java-клиент для Datadog API до версии 1.0.0-beta.9 имеет локальное раскрытие информации о конфиденциальной информации, загруженной через AP…
Java-клиент для Datadog API до версии 1.0.0-beta.9 имеет локальное раскрытие информации о конфиденциальной информации, загруженной через API с использованием API Client. Datadog API выполняется в unix-подобной системе с несколькими пользователями. API используется для загрузки файла, содержащего конфиденциальную информацию. Эта конфиденциальная информация локально раскрывается другим пользователям. Эта уязвимость существует в API Client для версий 1 и 2. Метод `prepareDownloadFilecreates` создает временный файл с битами разрешений `-rw-r--r--` в unix-подобных системах. В unix-подобных системах системный временный каталог является общим для пользователей. Таким образом, содержимое файла, загруженного с помощью метода `downloadFileFromResponse`, будет видно всем другим пользователям в локальной системе. Анализ результатов показал, что затронутый код не используется, что означает, что вероятность эксплуатации невелика. Неиспользуемый код был удален, что фактически устраняет эту проблему. Эта проблема была исправлена в версии 1.0.0-beta.9. В качестве обходного пути можно указать `java.io.tmpdir` при запуске JVM с флагом `-Djava.io.tmpdir`, указав путь к каталогу с разрешениями `drw-------`, принадлежащему `dd-agent`.
Открытие временных файлов без надлежащих мер и средств контроля может сделать файл, его содержимое и любую зависящую от него функцию уязвимыми для атак.
https://cwe.mitre.org/data/definitions/378.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| datadog-api-client-java | * | Отслеживается |