正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密のシークレットまたはトークンMailgunプライベートAPIトークンの公開

説明

応答本文には、MailgunプライベートAPIトークンのパターンに一致するコンテンツが含まれていることが判明しました。このキーを使用すると、さまざまなAPIエンドポイントを介して、また送信ドメインに対して、読み取り、書き込み、および削除操作を実行できます。このキーにアクセスできる悪意のある攻撃者は、制限なしにMailgunにAPIリクエストを実行できます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの処理に関する一般的なガイダンスについては、認証情報のインターネットへの公開に関するGitLabドキュメントを参照してください。

プライベートAPIトークンをローテーションするには:

  • Mailgunアカウントにサインインし、ダッシュボード(https://app.mailgun.com/)にアクセスします。
  • 右上側で、アカウントプロファイルを選択し、[APIセキュリティ]を選択します
  • 識別されたキーを見つけて、ごみ箱アイコンを選択します
  • ごみ箱アイコンを選択できない場合は、まず[新しいキーを追加]を選択して新しいキーを生成する必要があります
  • プロンプトが表示されたら、[APIキーの削除]ダイアログで[削除]を選択します

詳細については、MailgunのAPIキーに関するドキュメントを参照してください。

詳細

ID集約CWEリスク
798.74いいえ798パッシブ