Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 GitLab Kubernetes 代理令牌
描述
响应体中包含被识别为符合 GitLab Agent for Kubernetes token 模式的内容。Kubernetes 访问令牌用于将 GitLab Agent for Kubernetes 身份验证到 Kubernetes 集群。拥有此令牌访问权限的恶意行为者可以访问代理配置项目中的源代码,访问 GitLab 实例上任何公共项目中的源代码,甚至在非常特定的条件下获取 Kubernetes manifest。 暴露此值可能允许攻击者获得此令牌授予的所有资源的访问权限。
修复建议
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 文档中关于 凭据暴露到互联网 的内容。更多信息请参阅 GitLab 关于轮换 Kubernetes 代理令牌的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.148 | false | 798 | Passive | High |