关键漏洞信息 漏洞类型 Sensitive Information Exposure in Terraform Provider Debug Logs 影响范围 Affected versions: < 3.9.0 Patched versions: 3.9.0 严重性 Severity: Moderate CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: Low - User interaction: None - Scope: Changed - Confidentiality: Low - Integrity: None - Availability: None CVE ID: CVE-2026-27900 Weaknesses: CWE-532 漏洞描述 Description: Terraform Provider for Linode版本低于3.9.0记录调试日志中的敏感信息,包括一些密码、StackScript内容、对象存储数据和NodeBalancer TLS密钥,而没有进行脱敏处理。 影响 Impact: 当调试提供者日志被显式启用时(例如在本地故障排除、CI/CD作业或集中日志收集中),敏感值可能会被写入日志并随后保留、共享或导出到原始执行环境之外。 修复措施 Patches: 更新至版本3.9.0或更高版本,该版本通过仅记录标签、区域和资源ID等非敏感元数据,并脱敏凭证、令牌、密钥、脚本和其他敏感内容来确保调试日志的安全性。 临时措施和缓解策略 Workarounds and Mitigations: - 禁用Terraform提供者调试日志或将其设置为WARN级别或以上。 - 限制对现有和历史日志的访问。 - 清除/修剪可能包含敏感值的日志。 - 旋转可能已暴露的密钥/凭证。 声誉 Credits: 该问题由Hasan Sheet通过Akamai的HackerOne漏洞赏金计划报告给我们。