Katalog CVE

CVE-2026-50200

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W wersjach przed 4.2.0 Steeltoe.Management.Endpoint oraz 3.4.0 Steeltoe.Management.EndpointCore, komponent `Sanitizer` nieprawidłowo maskuje wartości konfiguracji, co pozwala na ujawnienie pełnych ciągów połączeń w odpowiedziach `/actuator/env`. Domyślna lista sufiksów nie obejmuje standardowego wzorca .NET `ConnectionStrings:<name>` oraz `Steeltoe:Client:<type>:Default:ConnectionString`.

Ocena ryzyka

Ujawnienie pełnych ciągów połączeń może prowadzić do wycieku wrażliwych danych, takich jak hasła i dane uwierzytelniające, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację do wersji 4.2.0 lub 3.4.0. Jeśli aktualizacja nie jest możliwa, należy usunąć `env` z listy ekspozycji actuatora oraz dodać `.*connectionstring.*` do `KeysToSanitize` jako dodatkowe zabezpieczenie.

Oryginalny opis (angielski, źródło NVD)

Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Management.Endpoint prior to version 4.2.0 and Steeltoe.Management.EndpointCore prior to version 3.4.0, the `Sanitizer` component in the Environment actuator redacts configuration values by matching the configuration key name against a suffix list. The default list (`password`, `secret`, `key`, `token`, `.*credentials.*`, `vcap_services`) does not cover the standard .NET pattern `ConnectionStrings:<name>` or Steeltoe Connectors' `Steeltoe:Client:<type>:Default:ConnectionString`. There is no value-based scrubbing, so full connection string values including embedded `Password=` and `user:pass@host` segments are returned verbatim in `/actuator/env` responses. Steeltoe.Management.Endpoint 4.2.0 and Steeltoe.Management.EndpointCore 3.4.0 patch the issue. If an immediate upgrade is not possible: On the standard path, remove `env` from the actuator exposure list; add `.*connectionstring.*` to `KeysToSanitize` as a defense-in-depth measure for both paths; and/or require authorization on actuator endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS