正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

Contentful配信APIトークンの機密シークレットまたはトークンの公開

説明

応答本文には、Contentful配信APIトークンのパターンに一致するコンテンツが含まれていることが確認されました。Contentful Delivery API(CDA)は、Contentfulからアプリ、ウェブサイト、その他のメディアにコンテンツを配信するための読み取り専用APIです。コンテンツはJSONデータとして、画像、ビデオ、その他のメディアはファイルとして配信されます。このトークンへのアクセス権を持つ悪意のある攻撃者は、エントリへの読み取り専用アクセス権を持っています。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの処理に関する一般的なガイダンスについては、GitLabドキュメントの認証情報のインターネットへの公開を参照してください。

配信APIトークンを失効するには:

  • サインインしてhttps://app.contentful.com/にアクセスしてください。
  • 右上隅にある歯車アイコンを選択し、「API Keys」を選択します。
  • 検出されたAPIキーを見つけ、APIキーのテーブルで名前を選択します
  • 右上隅にある「Delete」を選択します
  • プロンプトが表示されたら、「Delete」を選択します。これにより、プレビューAPIトークンも削除されることに注意してください。新しいAPIキーのセットを生成する必要があります。

詳細については、Developerの認証に関するドキュメントを参照してください。

詳細

ID集約CWEリスク
798.23いいえ798パッシブ