Census CSWeb 8.0.1 allows "app/config" to be reachable via HTTP in some deployments. A remote, unauthenticated attacker could send requests to configuration files and obtain leaked secrets. Fixed in 8.1.0 alpha.
Census CSWeb 8.0.1 exposes sensitive configuration files via HTTP without authentication, allowing attackers to retrieve leaked secrets. The vulnerability affects deployments where the app/config endpoint is accessible, with a fix available in version 8.1.0 alpha.
تسمح ثغرة في Census CSWeb 8.0.1 بالوصول غير المصرح إلى ملفات التكوين الحساسة عبر نقطة نهاية HTTP غير محمية. يمكن للمهاجمين البعيدين بدون مصادقة الحصول على أسرار حساسة مثل مفاتيح API وكلمات مرور قواعد البيانات. تم إصلاح هذه المشكلة في الإصدار 8.1.0 ألفا.
يسمح Census CSWeb 8.0.1 بالوصول إلى ملفات التكوين الحساسة عبر HTTP بدون مصادقة، مما يمكن المهاجمين من استرجاع الأسرار المسربة. تؤثر الثغرة على النشرات حيث تكون نقطة نهاية app/config قابلة للوصول.
Immediately upgrade Census CSWeb to version 8.1.0 alpha or later. Implement network-level access controls to restrict HTTP access to the app/config endpoint. Conduct a security audit to identify if configuration files were accessed and rotate all exposed credentials including API keys, database passwords, and authentication tokens.
قم بالترقية الفورية إلى Census CSWeb الإصدار 8.1.0 ألفا أو أحدث. طبق ضوابط الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية app/config. أجرِ تدقيقاً أمنياً للتحقق من الوصول إلى ملفات التكوين وقم بتدوير جميع بيانات الاعتماد المكشوفة.