Resumo
Se o agente Node.js estiver configurado para excluir o atributo request.uri , ele ainda capturará o URI no rastreamento da transação. Isto pode ser problemático para determinados clientes em ambientes onde informações confidenciais estão incluídas no URI.
Release date: 20 de agosto de 2020
Vulnerability identifier: NR20-02
Priority: Médio
Software afetado
As seguintes versões do agente New Relic são afetadas:
Nome | Versão afetada | Versão corrigida |
|---|---|---|
Agente Node.js. | < 6.12.1 | 6.12.1 |
Informações sobre vulnerabilidades
Mesmo quando o usuário configura o agente Node.js para excluir o atributo request.uri , o agente ainda capturará o URI no rastreamento da transação. Isso permite que o usuário da conta autenticada visualize o URI em qualquer lugar que os detalhes do rastreamento da transação possam ser visualizados via New Relic One ou consulta. Isso inclui (mas não está limitado a) a seção Transaction traces da página Transactions , o Transaction trace details e o criador de consulta na interface.
Fatores mitigantes
Isso afetará apenas o agente Node.js configurado para excluir o atributo request.uri .
Soluções alternativas
Relate vulnerabilidades de segurança à New Relic
A New Relic está comprometida com a segurança de nossos clientes e de seus dados. Se você acredita ter encontrado vulnerabilidades de segurança em um de nossos produtos ou sites, agradecemos e agradecemos muito que você relate isso ao programa de divulgação coordenado da New Relic. Para obter mais informações, consulte nossa documentação sobre como relatar vulnerabilidades de segurança.