CVE-2024-38460

Опубликовано: 16 июн. 2024

Источник: nvd

CVSS3: 4.9

CVSS3: 6.5

EPSS Низкий

Описание

In SonarQube before 10.4 and 9.9.4 LTA, encrypted values generated using the Settings Encryption feature are potentially exposed in cleartext as part of the URL parameters in the logs (such as SonarQube Access Logs, Proxy Logs, etc).

Ссылки

https://community.sonarsource.com/t/sonarqube-ce-10-3-0-leaking-encrypted-values-in-web-server-logs/108187
Exploit
Issue Tracking
Vendor Advisory
https://sonarsource.atlassian.net/browse/SONAR-21559
Issue Tracking
https://community.sonarsource.com/t/sonarqube-ce-10-3-0-leaking-encrypted-values-in-web-server-logs/108187
Exploit
Issue Tracking
Vendor Advisory
https://sonarsource.atlassian.net/browse/SONAR-21559
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sonarsource:sonarqube:*:*:*:*:*:*:*:*

Версия до 9.9.4 (исключая)

cpe:2.3:a:sonarsource:sonarqube:*:*:*:*:*:*:*:*

Версия от 10.0.0.68432 (включая) до 10.4 (исключая)

EPSS

Процентиль: 35%

0.00142

Низкий

4.9 Medium

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-532

Связанные уязвимости

GHSA-hw2c-8xgw-mf57

CVSS3: 4.9

github

больше 1 года назад

SonarQube logs sensitive information

EPSS

Процентиль: 35%

0.00142

Низкий

4.9 Medium

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-532