Tipo de problema
Bug
Descripción
El directorio ~/.finops/ se crea con 0o755 (legible por todos) y los reportes se crean con os.Create() (modo 0o666 modificado por umask). En sistemas multi-usuario, datos financieros sensibles quedan expuestos.
Localización
internal/store/store.go:L40 — os.MkdirAll(dir, 0o755)internal/report/html.go:L119 — os.Createinternal/report/csv.go:L14, L52, L79, L110 — os.Createinternal/report/json.go:L196 — os.Createinternal/report/pdf.go:L65 — os.WriteFile(..., 0o644)
Impacto
En sistemas compartidos, otros usuarios podrían leer IDs de cuentas AWS, costes y metadatos de recursos.
Sugerencia de solución
- Directorio: cambiar a
0o700
- Reportes: usar
os.OpenFile con 0o600
- PDF: cambiar de
0o644 a 0o600
Detectado por
Security Agent
Tipo de problema
Bug
Descripción
El directorio
~/.finops/se crea con0o755(legible por todos) y los reportes se crean conos.Create()(modo0o666modificado por umask). En sistemas multi-usuario, datos financieros sensibles quedan expuestos.Localización
internal/store/store.go:L40—os.MkdirAll(dir, 0o755)internal/report/html.go:L119—os.Createinternal/report/csv.go:L14, L52, L79, L110—os.Createinternal/report/json.go:L196—os.Createinternal/report/pdf.go:L65—os.WriteFile(..., 0o644)Impacto
En sistemas compartidos, otros usuarios podrían leer IDs de cuentas AWS, costes y metadatos de recursos.
Sugerencia de solución
0o700os.OpenFilecon0o6000o644a0o600Detectado por
Security Agent