正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

ContentfulプレビューAPIトークンの機密シークレットまたはトークンの公開

説明

ContentfulプレビューAPIトークンのパターンに一致するコンテンツがレスポンス本文に含まれていることが判明しました。プレビューAPIトークンは、Content Delivery API(CDA)と同じ動作とパラメータを維持しますが、エントリとアセットの最新のドラフトを配信します。ContentプレビューAPIは、エントリの最新バージョンを表示するために使用されます。このトークンにアクセスできる悪意のある攻撃者は、公開済みおよび未公開のエントリを表示できます。詳細については、プレビューAPIドキュメントを参照してください。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの取り扱いに関する一般的なガイダンスについては、GitLabドキュメントのインターネットへの認証情報の公開を参照してください。

プレビューAPIトークンを失効するには:

  • サインインしてhttps://app.contentful.com/にアクセスします
  • 右上隅にある歯車アイコンを選択し、「APIキー」を選択します
  • 検出されたAPIキーを見つけ、APIキーのテーブルで名前を選択します
  • 右上隅にある「削除」を選択します
  • プロンプトが表示されたら、「削除」を選択します。これにより、配信APIトークンも削除されることに注意してください。

新しいAPIキーのセットを生成する必要があります。

詳細については、認証に関するデベロッパードキュメントを参照してください。

詳細

ID集約CWEリスク
798.133いいえ798パッシブ