Help us learn about your current experience with the documentation. Take the survey.
GitLab feed token v2 中的机密密钥或令牌暴露
描述
响应体中包含与 GitLab feed token 模式匹配的内容。当您的 RSS 阅读器加载个性化 RSS feed 或您的日历应用程序加载个性化日历时,您的 feed token 会进行身份验证。它在这些 feed URL 中可见。它不能用于访问任何其他数据。拥有此 token 的恶意行为者可以读取您的个性化 RSS feed,并向您的日历 feed 发出 RSS feed,就像他们是你一样。 暴露此值可能允许攻击者访问此 token 授予的所有资源。
修复建议
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
重新生成 feed token:
- 登录您的 GitLab 账户,访问 用户设置 左侧菜单,选择 “Access tokens”
- 在 “Feed token” 部分,选择 “reset this token” 链接
- 当提示时选择 “OK”
更多信息,请参阅 GitLab 关于 feed tokens 的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.147 | false | 798 | Passive | High |