Valtimo - это платформа автоматизации бизнес-процессов с открытым исходным кодом. С 12.4.0 до 12.33.0 и 13.26.0, Журналистский раститель в …
Valtimo - это платформа автоматизации бизнес-процессов с открытым исходным кодом. С 12.4.0 до 12.33.0 и 13.26.0, Журналистский раститель в веб-модуле автоматически перехватывает все исходящее HTTP-вызовы, сделанные через Spring's RestClient, и регистрирует весь корпус запроса, орган ответа и заголовки ответов. При получении ответа на ошибку эта информация включается в брошенное сообщение HttpClientErrorException, которое регистрируется на уровне ERROR по обработке исключений Spring по умолчанию - независимо от настройки уровня журнала DEBUG приложения. Эта уязвимость исправлена в пунктах 12.33.0 и 13.26.0.
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →