기밀 시크릿 또는 토큰 노출 - Mailchimp API 키

응답 본문에 Mailchimp API 키 패턴과 일치하는 콘텐츠가 포함된 경우 공격자가 해당 토큰으로 부여된 모든 리소스에 접근할 수 있습니다.

설명 # 응답 본문에 Mailchimp API 키 패턴과 일치하는 콘텐츠가 포함되어 있습니다. API 키는 이메일 전송, 마케팅 캠페인 생성 및 전송, 고객 목록 및 이메일 주소 접근에 사용할 수 있습니다. 이 키에 접근할 수 있는 악의적인 행위자는 Mailchimp에 대한 모든 API 요청을 제한 없이 수행할 수 있습니다. 이 값이 노출되면 공격자가 해당 토큰으로 부여된 모든 리소스에 접근할 수 있습니다. 해결 방법 # 유출된 키와 관련된 보안 사고 처리에 대한 일반적인 지침은 인터넷에 자격 증명 노출 에 관한 GitLab 문서를 참고하세요. API 키를 취소하려면: https://login.mailchimp.com/ 에서 Mailchimp 계정에 로그인합니다. 프로필 아이콘을 선택한 다음 Profile을 선택합니다. Extras 드롭다운 목록을 선택하고 "API keys"를 선택합니다. 식별된 키를 찾아 "Revoke"를 선택합니다. 확인 메시지가 표시되면 "REVOKE"를 입력하여 확인하고 "Revoke API Key" 대화 상자에서 "Revoke"를 선택합니다. 자세한 내용은 Mailchimp의 API 키 보안 문서 를 참고하세요. 세부 정보 # ID 집계 CWE 유형 위험도 798.72 false 798 Passive High 링크 # CWE