机密密钥或令牌 Adobe 客户端密钥泄露

描述

检测到响应体中包含与 Adobe 客户端密钥模式匹配的内容。Adobe 客户端密钥用于连接各种基于 API 或 webhook 事件的服务。根据项目定义的服务类型，拥有该密钥的恶意行为者可以利用它访问各种可能包含敏感信息的 API 或事件。泄露此值可能允许攻击者访问此令牌授予的所有资源。

修复

有关处理密钥泄露安全事件的通用指导，请参阅 GitLab 文档中的 凭据暴露到互联网。 修复步骤取决于泄露的客户端密钥类型，请查看以下修复步骤类型，并使用适用于检测到的密钥的那一种。

OAuth (服务器到服务器):

• 登录您的账户 https://developer.adobe.com/console
• 选择项目或"所有项目"以找到受影响的项目 - 在左侧，“凭据"下，选择"OAuth 服务器到服务器”
• 在"客户端密钥"下选择"检索客户端密钥"
• 密钥表格显示后，在表格下方选择"添加新客户端密钥"
• 新密钥创建后，找到泄露的令牌值并选择垃圾桶图标将其删除
• 复制密钥值并使用新的客户端密钥更新所有服务

OAuth Web App (基于事件的项目):

• 选择项目或选择"所有项目"以找到受影响的项目
• 在左侧，“凭据"下，选择"OAuth Web App”
• 选择"检索客户端密钥"
• 确认这是泄露的密钥
• 如果此项目配置了事件，在删除前复制所有事件详情。您可以通过找到右侧列出的事件并选择它来完成。您将被带到显示其详情的仪表板，如事件传递方式、提供者、订阅的事件和连接的凭据。
• 要删除事件，选择项目页面右侧"连接另一个服务"上方的"…"
• 选择"移除"
• 当提示时，输入项目名称并选择"删除事件注册"
• 在右上角选择"删除凭据"
• 当提示时，输入项目名称并选择"删除凭据"
• 使用相同详情重新添加事件
• 当提示添加回凭据时，确保使用"用户身份验证"OAuth
• 选择"Web App"进行 OAuth 2.0 身份验证和授权
• 事件重新添加后，在左侧"凭据"下，选择"OAuth Web App"
• 选择"检索客户端密钥"
• 复制密钥值并使用新的客户端密钥更新所有服务

OAuth Web App (基于 API 服务的项目):

• 登录您的账户 https://developer.adobe.com/console
• 选择项目或选择"所有项目"以找到受影响的项目
• 在左侧，“凭据"下，选择"OAuth Web App”
• 选择"检索客户端密钥"
• 如果此项目配置了 API，选择垃圾桶图标"移除"以删除连接的产品和服务。
• 当提示时，输入项目名称并选择"移除 API"
• 在右上角选择"删除凭据"
• 当提示时，输入项目名称并选择"删除凭据"
• 使用相同详情重新添加 API
• 选择"Web App"进行 OAuth 2.0 身份验证和授权
• 服务重新添加后，在左侧"凭据"下，选择"OAuth Web App"
• 选择"检索客户端密钥"
• 复制密钥值并使用新的客户端密钥更新所有服务

详情

链接

• CWE