Resumen
Una actualización de seguridad del agente del navegador detectará file://
esquemas de URI y detendrá cualquier ejecución adicional y recopilación de datos si los encuentra.
Release date: 9 de marzo de 2021
Vulnerability identifier: NR21-01
Priority: Medio
Software afectado
Las siguientes versiones del agente New Relic se ven afectadas:
Nombre | Versión afectada | Versión remediada |
---|---|---|
Agente del navegador | <v1205 | v1208 |
Información de vulnerabilidades
El navegador puede representar archivos locales en una máquina host utilizando el esquema de URI file://
descrito en RFC 8089. Durante el ciclo de recolección del agente, este URI file://
se registrará como el punto de datos de pageURL. Esto puede resultar en la recopilación de datos potencialmente confidenciales incluidos en la ruta del archivo local, como la ruta del directorio para la página web guardada y cualquier nombre o información de la empresa en la ruta del directorio. Puede encontrar más información sobre el URI file://
en el RFC 8089.
Factores atenuantes
Una persona debe descargar una página web con el agente del navegador configurado y abrir el archivo en un browser. Los archivos HTML cargados sin el esquema URI file://
no se ven afectados.
Soluciones alternativas
Informar vulnerabilidades de seguridad a New Relic
New Relic está comprometido con la seguridad de nuestros clientes y sus datos. Si cree que ha encontrado vulnerabilidades de seguridad en uno de nuestros productos o sitios web, le damos la bienvenida y le agradecemos enormemente que lo informe al programa de divulgación coordinada de New Relic. Para obtener más información, consulte nuestra documentación sobre cómo informar vulnerabilidades de seguridad.