CVE-2023-34097

Опубликовано: 05 июн. 2023

Источник: nvd

CVSS3: 7.8

CVSS3: 8.8

EPSS Низкий

Уязвимость раскрытия пароля базы данных в системных логах Hoppscotch

Описание

Hoppscotch — это открытая экосистема для разработки API. В версиях до 2023.4.5 пароль базы данных отображается в логах при выводе строки подключения к базе данных. Злоумышленники, имеющие доступ к чтению системных логов, смогут повысить свои привилегии, получив полный доступ к базе данных. Пользователям рекомендуется обновить программное обеспечение. На данный момент не существует известных обходных решений для этой уязвимости.

Затронутые версии ПО

Hoppscotch < 2023.4.5

Тип уязвимости

Утечка данных
Повышение привилегий

Ссылки

https://github.com/hoppscotch/hoppscotch/commit/15424903ede20b155d764abf4c4f7c2c84c11247
Patch
https://github.com/hoppscotch/hoppscotch/security/advisories/GHSA-qpx8-wq6q-r833
Exploit
Vendor Advisory
https://github.com/hoppscotch/hoppscotch/commit/15424903ede20b155d764abf4c4f7c2c84c11247
Patch
https://github.com/hoppscotch/hoppscotch/security/advisories/GHSA-qpx8-wq6q-r833
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:hoppscotch:hoppscotch:*:*:*:*:*:*:*:*

Версия до 2023.4.5 (исключая)

EPSS

Процентиль: 38%

0.00166

Низкий

7.8 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-532

EPSS

Процентиль: 38%

0.00166

Низкий

7.8 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-532