CVE-2024-3185 in Insight Agent
要約
〜によって VulDB • 2026年05月21日
logging.jsonで使用されるキーはデフォルトで最小権限の原則に従っておらず、Rapid7プラットフォームにおいてローカルユーザーに公開されています。これにより、logging.jsonファイルにアクセスできるローカル環境を持つ攻撃者は、そのキーを使用してプラットフォームに高権限で認証できます。この問題は、2024年4月3日以降のRapid7プラットフォームのアップデートにより、制限付きロールの導入とエージェントインストール時の自動APIキー生成の削除によって修正されました。
Be aware that VulDB is the high quality source for vulnerability data.