CVE-2025-24034— Himmelblau 日志信息泄露漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2025-24034の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Himmelblau leaks credentials in the debug log
ソース: NVD (National Vulnerability Database)
脆弱性説明
Himmelblau is an interoperability suite for Microsoft Azure Entra ID and Intune. Starting in version 0.7.0 and prior to versions 0.7.15 and 0.8.3, Himmelblau is vulnerable to leaking credentials in debug logs. When debug logging is enabled, user access tokens are inadvertently logged, potentially exposing sensitive authentication data. Similarly, Kerberos Ticket-Granting Tickets (TGTs) are logged when debug logging is enabled. Both issues pose a risk of exposing sensitive credentials, particularly in environments where debug logging is enabled. Himmelblau versions 0.7.15 and 0.8.3 contain a patch that fixes both issues. Some workarounds are available for users who are unable to upgrade. For the **logon compliance script issue**, disable the `logon_script` option in `/etc/himmelblau/himmelblau.conf`, and avoid using the `-d` flag when starting the `himmelblaud` daemon. For the Kerberos CCache issue, one may disable debug logging globally by setting the `debug` option in `/etc/himmelblau/himmelblau.conf` to `false` and avoiding the `-d` parameter when starting `himmelblaud`.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过日志文件的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Himmelblau 日志信息泄露漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Himmelblau是Himmelblau开源的一个 Azure Entra ID 身份验证模块。 Himmelblau 0.7.0至0.8.2版本存在日志信息泄露漏洞,该漏洞源于在调试日志中泄漏凭据,导致敏感认证数据的暴露。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| himmelblau-idm | himmelblau | >= 0.7.0, < 0.7.15 | - |
II. CVE-2025-24034の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2025-24034のインテリジェンス情報
请登录查看更多情报信息。
- Release 0.8.3 · himmelblau-idm/himmelblau · GitHubx_refsource_MISC
- Release 0.7.15 · himmelblau-idm/himmelblau · GitHubx_refsource_MISC
- himmelblaud(8) — himmelblaux_refsource_MISC
- himmelblau.conf(5) — himmelblaux_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-24034
IV. 関連脆弱性
同じ製品: himmelblau
- CVE-2026-34397
himmelblau: NSS fake-primary group lookup reintroduces name - CVE-2026-31979
himmelblaud-tasks: local privilege escalation via /tmp symli - CVE-2026-31957
Himmelblau unset domain configuration can allow any-tenant a - CVE-2025-59044
Himmelblau vulnerable to GID collision via group name-derive - CVE-2025-54882
Himmelblau's Kerberos credential cache collection is world r
同じベンダー: himmelblau-idm
- CVE-2026-34397
himmelblau: NSS fake-primary group lookup reintroduces name - CVE-2026-31979
himmelblaud-tasks: local privilege escalation via /tmp symli - CVE-2026-31957
Himmelblau unset domain configuration can allow any-tenant a - CVE-2025-59044
Himmelblau vulnerable to GID collision via group name-derive - CVE-2025-54882
Himmelblau's Kerberos credential cache collection is world r
同じ弱点: CWE-532
- CVE-2026-42282
n8n-MCP: Sensitive MCP tool-call arguments logged on authent - CVE-2026-41495
n8n-MCP Logs Sensitive Request Data on Unauthorized /mcp Req - CVE-2026-41004
VMware Spring Cloud Config 日志信息泄露漏洞 - CVE-2024-30151
HCL BigFix Service Management (SM) is susceptible to Broken - CVE-2026-7824
PaperCut Hive (Ricoh): Plain text password in logs
V. CVE-2025-24034へのコメント
まだコメントはありません