Vulnerabilidad en Hail (CVE-2023-51663)

Hail es una herramienta de análisis de datos de código abierto, de uso general y basada en Python con tipos de datos y métodos adicionales para trabajar con datos genómicos. Hail depende de las direcciones de correo electrónico de OpenID Connect (OIDC) de los tokens de identificación para verificar la validez del dominio de un usuario, pero debido a que los usuarios tienen la capacidad de cambiar su dirección de correo electrónico, podrían crear cuentas y usar recursos en clústeres a los que no deberían tener acceso. Por ejemplo, un usuario podría crear una cuenta de Microsoft o Google y luego cambiar su correo electrónico a `test@example.org`. Luego, esta cuenta se puede usar para crear una cuenta de Hail Batch en clústeres de Hail Batch cuyo dominio de organización es `example.org`. El atacante no puede acceder a datos privados ni hacerse pasar por otro usuario, pero tendría la capacidad de ejecutar trabajos si los proyectos de facturación Hail Batch están habilitados y crear Azure Tenants si tienen acceso a Azure Active Directory Administrator.