漏洞标题
当无法解析URI时,会泄露`SPICEDB_DATASTORE_CONN_URI`
漏洞描述信息
## 漏洞概述
SpiceDB在版本1.27.0-rc1之前存在一个安全漏洞,当提供的数据存储URI格式错误(例如密码中包含冒号)时,完整的URI(包括密码)会被打印出来,导致密码暴露在日志中。
## 影响版本
- 1.27.0-rc1之前的所有版本
## 漏洞细节
当提供的数据存储URI格式错误时(例如,密码中包含冒号),完整的URI(包括其中的密码)会被打印到日志中。这会导致敏感信息泄露,因为密码和其他敏感信息会被暴露在日志文件中。
## 影响
此漏洞可能导致敏感信息(如密码)泄露,攻击者可能利用这些泄露的信息进行进一步的攻击,例如进行未授权访问或进行其他恶意操作。建议升级到1.27.0-rc1或更高版本以修复这一漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
通过日志文件的信息暴露
漏洞标题
`SPICEDB_DATASTORE_CONN_URI` is leaked when URI cannot be parsed
漏洞描述信息
SpiceDB is an open source, Google Zanzibar-inspired database for creating and managing security-critical application permissions. Prior to version 1.27.0-rc1, when the provided datastore URI is malformed (e.g. by having a password which contains `:`) the full URI (including the provided password) is printed, so that the password is shown in the logs. Version 1.27.0-rc1 patches this issue.
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
漏洞类别
通过日志文件的信息暴露
漏洞标题
SpiceDB 日志信息泄露漏洞
漏洞描述信息
SpiceDB是受 Google Zanzibar 启发的细粒度权限数据库。 SpiceDB 1.27.0 之前版本存在日志信息泄露漏洞,该漏洞源于当 URI 无法解析时,SPICEDB_DATASTORE_CONN_URI`就会泄漏,在日志中显示密码。
CVSS信息
N/A
漏洞类别
日志信息泄露