Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 RubyGems API 令牌
描述
响应体中包含与 RubyGems API 令牌模式匹配的内容。RubyGems 令牌用于访问 API 或发布软件包。RubyGems 令牌可以创建具有特定权限或范围。根据权限和范围,拥有此令牌的恶意行为者可以添加或删除软件包、添加或删除所有者,或查看仪表板。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复措施
有关处理泄露密钥相关安全事件的通用指导,请参阅 GitLab 文档中的 凭据暴露到互联网。
要撤销 API 令牌:
- 登录您的 RubyGems 账户并访问 https://rubygems.org/settings/edit
- 向下滚动并选择 “API Keys” 或访问 https://rubygems.org/profile/api_keys
- 找到已识别的令牌并选择 “Delete”
- 当提示时,在对话框中选择 “OK”
有关更多信息,请参阅 RubyGems 关于 API 令牌的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.97 | false | 798 | Passive | High |