正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密のシークレットまたはトークンMailgun Webhook署名キーの公開

説明

応答本文には、Mailgun Webhook署名キーのパターンに一致するコンテンツが含まれていることが確認されました。このキーは、Mailgunがすべての受信Webhookメッセージペイロードに署名するために使用されます。このキーにアクセスできる悪意のある攻撃者は、偽のWebhookイベントに署名し、検証に合格して処理されるように、サービスに送信する可能性があります。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの処理に関する一般的なガイダンスについては、認証情報のインターネットへの公開に関するGitLabドキュメントを参照してください。

HTTP Webhook署名キーをローテーションするには:

  • Mailgunアカウントにサインインし、https://app.mailgun.com/のダッシュボードにアクセスします。
  • 右上側で、アカウントプロファイルを選択し、「APIセキュリティ」を選択します。
  • 「HTTP Webhook署名キー」セクションで、右側のローテーション矢印アイコンを選択します。
  • プロンプトが表示されたら、「HTTP Webhook署名キーのリセット」ダイアログで「リセットキー」を選択します。

詳細については、MailgunのWebhookに関するドキュメントを参照してください。

詳細

ID集計CWEリスク
798.75いいえ798パッシブ