Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 Clojars 部署令牌
描述
检测到响应体中包含与 Clojars 部署令牌模式匹配的内容。部署令牌用于替代部署时的密码,不能用于登录。令牌可以限定为:
- 您有权访问的任何工件("*")
- 您有权访问的组中的任何工件(“group-name/*")
- 您有权访问的特定工件(“group-name/artifact-name”)
拥有此令牌访问权限的恶意行为者可以使用此账户部署恶意的 Clojure JAR 文件。暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复措施
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要撤销部署令牌:
-
登录后访问 https://clojars.org/tokens。
-
在"现有部署令牌"下找到被检测到的令牌
-
选择"禁用令牌”。
禁用后无法重新启用该令牌。
要创建新的部署令牌:
- 登录后访问 https://clojars.org/tokens。
- 填写令牌名称
- 选择适当的令牌范围
- 如果令牌为单次使用,请选择"单次使用?“复选框,否则留空
- 设置过期日期(建议 90 天)
- 选择"创建令牌”
有关令牌的更多信息,请参阅 Clojars 网站。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.20 | false | 798 | Passive | High |