Unity-cli - это утилита командной строки для движка Unity Game. До 1.8.2 команда знака-пакета в @rage-against-the-pixel/unity-cli регистрир…
Unity-cli - это утилита командной строки для движка Unity Game. До 1.8.2 команда знака-пакета в @rage-against-the-pixel/unity-cli регистрирует чувствительные учетные данные в открытом тексте, когда используется многословный флаг. Аргументы командной строки, включая - электронную почту и -пароль, выводятся через JSON.stringify без дезинфекции, раскрытие секретов истории оболочки, журналов CI/CD и систем агрегации журналов. Эта уязвимость зафиксирована в подразделе 1.8.2.
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →