正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密のシークレットまたはトークンであるShippoテストAPIトークンの暴露

説明

レスポンスボディには、ShippoテストAPIトークンのパターンに一致するコンテンツが含まれていることが確認されました。APIトークンは、配送サービスに使用されるShippo APIへのアクセスに使用できます。このトークンにアクセスできる悪意のある攻撃者は、課金および注文情報にアクセスし、配送データを変更することができます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの取り扱いに関する一般的なガイダンスについては、GitLabドキュメントのインターネットへの認証情報の公開を参照してください。

APIトークンを失効するには:

  • Shippoアカウントにサインインし、https://apps.goshippo.com/にアクセスします
  • 右上側で、「ギア」アイコンを選択して「設定」ページに移動します
  • 左側のメニューで「詳細」までスクロールし、「API」を選択します
  • 「トークン」セクションで、「トークンの管理」を選択します
  • 識別されたトークンを見つけて、ゴミ箱アイコンを選択します
  • プロンプトが表示されたら、「トークンの管理」ダイアログで「はい、トークンを削除」を選択します

詳細については、ShippoのAPIキーに関するドキュメントを参照してください。

詳細

ID集約CWEリスク
798.171いいえ798パッシブ