Voltar ao catalogoCRIT-03
Senha hardcoded da integracao CargaAdicional em appsettings.json
CriticalAchado ConfirmadoSegurancaRodada 1
Evidencia
`aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json` linhas 44-49: `"CargaAdicionalAuthCredentials": { "ClientId": "CargoFleet_Api", "ClientSecret": "4905aa6a-7752-488b-975a-fd1f2a2d95be", "Username": "acesso_api", "Password": "1q2w3E*" }`.Impacto Tecnico
Acesso ao microservico CargaAdicional com credenciais de nivel admin. Reutilizacao da mesma senha em multiplos contextos amplifica o risco.
Impacto de Negocio
Acesso nao autorizado ao microservico externo de cargas adicionais; risco de manipulacao de dados de aceite de fretes.
Recomendacao
Rotacionar todas as credenciais que usam 1q2w3E*. Mover para Kubernetes Secrets. Usar senhas distintas por contexto.
Arquivos Afetados
aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json
Acoes Relacionadas
{
"id": "CRIT-03",
"title": "Senha hardcoded da integracao CargaAdicional em appsettings.json",
"severity": "Critical",
"type": "achado confirmado",
"category": "security",
"description": "Credenciais da integracao CargaAdicional (`ClientId`, `ClientSecret`, `Username`, `Password`) em texto plano no appsettings.json. A mesma senha `1q2w3E*` aparece como salt para criptografia Galileu e como senha admin em seed data. Confirmado pelo usuario que esta em uso em producao.",
"evidence": "`aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json` linhas 44-49: `\"CargaAdicionalAuthCredentials\": { \"ClientId\": \"CargoFleet_Api\", \"ClientSecret\": \"4905aa6a-7752-488b-975a-fd1f2a2d95be\", \"Username\": \"acesso_api\", \"Password\": \"1q2w3E*\" }`.",
"technicalImpact": "Acesso ao microservico CargaAdicional com credenciais de nivel admin. Reutilizacao da mesma senha em multiplos contextos amplifica o risco.",
"businessImpact": "Acesso nao autorizado ao microservico externo de cargas adicionais; risco de manipulacao de dados de aceite de fretes.",
"recommendation": "Rotacionar todas as credenciais que usam `1q2w3E*`. Mover para Kubernetes Secrets. Usar senhas distintas por contexto.",
"files": [
"aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json"
],
"pass": 1,
"relatedActions": [
"ACT-1.1",
"ACT-1.5"
]
}
Descricao
Credenciais da integracao CargaAdicional (
ClientId,ClientSecret,Username,Password) em texto plano no appsettings.json. A mesma senha1q2w3E*aparece como salt para criptografia Galileu e como senha admin em seed data. Confirmado pelo usuario que esta em uso em producao.