Résumé
Si l'agent Node.js est configuré pour exclure l'attribut request.uri, il capturera toujours l'URI dans la trace de transaction. Cela peut être problématique pour certains clients dans des environnements où des informations sensibles sont incluses dans l'URI.
Release date: 20 août 2020
Vulnerability identifier: NR20-02
Priority: Moyen
Logiciels concernés
Les versions d'agent New Relic suivantes sont concernées :
Nom | Version concernée | Version corrigée |
|---|---|---|
Agent Node.js | < 6.12.1 | 6.12.1 |
informations sur les vulnérabilités
Même lorsque l'utilisateur configure l'agent Node.js pour exclure l'attribut request.uri, l'agent capturera toujours l'URI dans la trace de la transaction. Cela permet à l'utilisateur de compte authentifié d'afficher l'URI partout où les détails trace de la transaction peuvent être visualisés via New Relic One ou une requête. Cela inclut (mais sans s'y limiter) la section Transaction traces de la page Transactions , le Transaction trace details et le générateur de requêtes dans l'interface utilisateur.
Facteurs atténuants
Cela n'affectera que les agents Node.js configurés pour exclure l'attribut request.uri .
Solutions de contournement
Signaler les vulnérabilités de sécurité à New Relic
New Relic s'engage à assurer la sécurité de ses clients et de vos données. Si vous pensez avoir découvert une faille de sécurité dans l'un de nos produits ou sites Web, nous vous invitons à la signaler au programme de divulgation coordonnée de New Relic. Pour plus d'informations, consultez notre documentation sur le signalement des vulnérabilités de sécurité.