Resumen
Si el agente Node.js está configurado para excluir el atributo request.uri , aún capturará el URI en la traza de la transacción. Esto puede resultar problemático para ciertos clientes en entornos donde se incluye información confidencial en el URI.
Release date: 20 de agosto de 2020
Vulnerability identifier: NR20-02
Priority: Medio
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Nombre | Versión afectada | Versión remediada |
|---|---|---|
Agente de Node.js | <6.12.1 | 6.12.1 |
Información de vulnerabilidades
Incluso cuando el usuario configure el agente Node.js para excluir el atributo request.uri , el agente seguirá capturando el URI en la traza de la transacción. Esto permite al usuario de la cuenta autenticado ver el URI en cualquier lugar donde se puedan ver los detalles de la traza de la transacción a través de New Relic One o consulta. Esto incluye (pero no se limita a) la sección Transaction traces de la página Transactions, el Transaction trace details y el generador de consultas en la UI.
Factores atenuantes
Esto solo afectará al agente Node.js configurado para excluir el atributo request.uri .
Soluciones alternativas
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte nuestra documentación sobre cómo informar vulnerabilidades de seguridad.