Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或 HashiCorp Vault 批量令牌
描述
检测到响应体中包含与 HashiCorp Vault 批量令牌模式匹配的内容。当数百到数千个系统需要访问 Vault 但生成唯一令牌无法扩展时,会使用批量令牌。这些令牌通常是短期的,并且绑定到特定的 vault 策略。拥有此令牌访问权限的恶意行为者可以冒充服务,并拥有与创建批量令牌的策略相同的权限级别。暴露此值可能允许攻击者获得此令牌授予的所有资源的访问权限。
修复建议
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。批量令牌无法撤销,因此在创建批量令牌时应使用非常短的"生存时间"值。更多信息,请参阅 Vault 关于批量令牌的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.154 | false | 798 | Passive | High |