一、 漏洞 CVE-2025-49009 基础信息
漏洞信息
                                        # Para 将敏感信息插入日志文件以进行 Facebook 认证

## 概述
Para 是一个多租户后端服务器/框架,用于对象持久化和检索。在 1.50.8 版本之前,`FacebookAuthFilter.java` 中存在一个漏洞,导致在向 Facebook 用户档案发出失败请求时,记录完整请求 URL。此日志包含用户的访问令牌的明文。由于 WARN 级别的日志通常在生产中保存并可供操作员或日志聚合系统访问,因此存在令牌暴露的风险。1.50.8 版本修复了该问题。

## 影响版本
- 1.50.8 之前的版本

## 细节
在 `FacebookAuthFilter.java` 中,当向 Facebook 用户档案发出失败请求时,会记录包含用户访问令牌明文的完整请求 URL。该日志记录在 WARN 级别,可能被保存在生产环境中并可供操作员或日志聚合系统访问,增加了访问令牌泄露的风险。

## 影响
由于日志中包含用户访问令牌的明文,若日志被不当保存或访问,可能导致访问令牌泄露。建议升级到 1.50.8 版本解决问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Para Inserts Sensitive Information into Log File for Facebook authentication
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Para is a multitenant backend server/framework for object persistence and retrieval. A vulnerability that exists in versions prior to 1.50.8 in `FacebookAuthFilter.java` results in a full request URL being logged during a failed request to a Facebook user profile. The log includes the user's access token in plain text. Since WARN-level logs are often retained in production and accessible to operators or log aggregation systems, this poses a risk of token exposure. Version 1.50.8 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
para 日志信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
para是Erudika开源的一个多租户后端服务器,用于快速构建web和移动应用程序。 para 1.50.8之前版本存在日志信息泄露漏洞,该漏洞源于日志中明文记录访问令牌,可能导致令牌泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
日志信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-49009 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-49009 的情报信息

  • 标题: CWE-532 (Insertion of Sensitive Information into Log File) for Facebook authentication · Advisory · Erudika/para · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    CWE-532 (Insertion of Sensitive Information into Log File) for Facebook authentication · Advisory · Erudika/para · GitHub

  • 标题: fixed CWE-532 in FacebookAuthFilter - improper logging of sensitive i… · Erudika/para@46a908d · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fixed CWE-532 in FacebookAuthFilter - improper logging of sensitive i… · Erudika/para@46a908d · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-49009