CVE-2026-50267
ŚrednieCVSS 4.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
W wersjach Steeltoe.Configuration.Abstractions od 4.0.0 do 4.1.0, dane uwierzytelniające TLS są zapisywane w plikach tymczasowych, które są dostępne dla wszystkich użytkowników na systemie Linux. Pliki te nie są usuwane, co stwarza ryzyko ujawnienia wrażliwych informacji.
Ocena ryzyka
Organizacje mogą być narażone na wyciek danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do baz danych MySQL lub PostgreSQL. To może skutkować poważnymi konsekwencjami dla bezpieczeństwa aplikacji i danych.
Rekomendacja
Zaleca się natychmiastową aktualizację do wersji 4.2.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy zablokować dostęp do `/tmp` dla innych procesów działających w kontenerze pod innym UID.
Oryginalny opis (angielski, źródło NVD)
Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Configuration.Abstractions 4.0.0 through 4.1.0, when MySQL or PostgreSQL service bindings from `VCAP_SERVICES` include TLS client credentials, the Connectors library writes those credentials to temporary files in `Path.GetTempPath()` using `File.CreateText`. On Linux, `File.CreateText` creates files with mode `0644` (world-readable) under the process umask, and the files are never deleted. The same key material is protected at mode `0400` in `/proc/<pid>/environ`. Steeltoe.Configuration.Abstractions version 4.2.0 patches the issue. If an immediate upgrade is not possible, prevent other processes from running in the container under a different UID with access to `/tmp`.

