機密性の高いシークレットまたはトークンのGitLab Kubernetesエージェントトークンの暴露
説明
応答本文には、Kubernetes向けGitLabエージェントのトークンのパターンに一致するコンテンツが含まれていることが判明しました。Kubernetesのアクセストークンは、Kubernetesクラスタで認証するためにKubernetes向けGitLabエージェントを認証するために使用されます。悪意のある第三者がこのトークンを使用して、エージェントの設定プロジェクトのコードにアクセスしたり、GitLabインスタンス上の任意のパブリックプロジェクトのコードにアクセスしたり、非常に特定の条件下でKubernetesマニフェストを取得したりする可能性があります。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。
修正
キーの漏洩に関するセキュリティインシデントの取り扱いに関する一般的なガイダンスについては、GitLabドキュメントのインターネットへの認証情報の公開を参照してください。詳細については、Kubernetesエージェントトークンのローテーションに関するGitLabドキュメントを参照してください。
詳細
| ID | 集約 | CWE | 型 | リスク |
|---|---|---|---|---|
| 798.148 | いいえ | 798 | パッシブ | 高 |