Puppetlabs レポート：

Puppet ServerおよびPuppetDBは、メトリクスAPIエンドポイントを通じて、有用なパフォーマンスおよびデバッグ情報を提供します。PuppetDBの場合、これにはホスト名などが含まれることがあります。Puppet Serverは、定義されたタイプのリソース名とタイトル（機密情報を含む可能性がある）、ならびに関数名とクラス名を報告します。以前は、これらのエンドポイントはローカルネットワークに対して開かれていました。

PE 2018.1.13 ＆ 2019.4.0、Puppet Server 6.9.1 ＆ 5.3.12、およびPuppetDB 6.9.1 ＆ 5.2.13は、 trapperkeeper-metrics /v1メトリクスAPIを無効にし、デフォルトでlocalhostの/v2アクセスのみを許可します。

検出

FreeBSD：puppetserverおよびpuppetdb -- Puppet ServerとPuppetDBは、メトリクスAPIを介して機密情報を漏洩する可能性があります（36def7ba-6d2b-11ea-b115-643150d3111d）

high Nessus プラグイン ID 134843

バージョン 1.3