linuxfoundation opentelemetry instrumentation for java CVE-2023-39951漏洞(CVE-2023-39951)
CVE编号
CVE-2023-39951利用情况
暂无补丁情况
N/A披露时间
2023-08-09漏洞描述
OpenTelemetry Java Instrumentation为Java提供了OpenTelemetry自动化和仪器库。在版本1.28.0之前的OpenTelemetry Java Instrumentation存在与使用AWS SDK v2和Amazon Simple Email Service(SES)v1 API的Java应用程序的仪表化相关的问题。当SES POST请求被仪表化时,请求的查询参数被插入到跟踪`url.path`字段中。这种行为导致包含电子邮件主题和消息的HTTP主体存在于跟踪请求URL元数据中。使用OpenTelemetry Java Instrumentation的低于1.28.0版本来仪表化AWS SDK v2调用SES的v1 SendEmail API的任何用户都会受到影响。发送到SES的电子邮件内容可能会出现在遥测后端。这将电子邮件内容暴露给意外的观众。此问题可以通过更新OpenTelemetry Java Instrumentation到1.28.0或更高版本来缓解。解决建议
"将组件 opentelemetry_instrumentation_for_java 升级至 1.28.0 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | linuxfoundation | opentelemetry_instrumentation_for_java | * | Up to (excluding) 1.28.0 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论