Help us learn about your current experience with the documentation. Take the survey.
暴露机密秘密或令牌 Contentful 预览 API 令牌
描述
响应体中包含与 Contentful 预览 API 令牌模式匹配的内容。预览 API 令牌与内容交付 API (CDA) 具有相同的行为和参数,但提供条目和资产的最新草稿。内容预览 API 用于显示条目的最新版本。拥有此令牌访问权限的恶意行为者可以查看已发布和未发布的条目。更多信息,请参阅 预览 API 文档。
暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复建议
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
撤销预览 API 令牌:
- 登录并访问 https://app.contentful.com/
- 选择右上角的齿轮图标,然后选择 “API Keys”
- 找到被检测到的 API 密钥,并在 API 密钥表中选择其名称
- 在右上角选择 “Delete”
- 当提示时,选择 “Delete”。注意这也会删除交付 API 令牌。
需要生成一组新的 API 密钥。
更多信息,请参阅开发者 关于身份验证的文档。
详情
| ID | 已聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.133 | false | 798 | Passive | High |