Vulnerabilidad en Fides (CVE-2024-45053)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

04/09/2024

Última modificación:

06/09/2024

Descripción

Fides es una plataforma de ingeniería de privacidad de código abierto. A partir de la versión 2.19.0 y antes de la versión 2.44.0, la función de creación de plantillas de correo electrónico utiliza Jinja2 sin la desinfección de entrada adecuada ni restricciones del entorno de renderizado, lo que permite la inyección de plantillas del lado del servidor que otorga la ejecución remota de código a usuarios privilegiados. Un usuario privilegiado se refiere a un usuario de la interfaz de usuario de administración con el rol predeterminado de "Propietario" o "Colaborador", que puede escalar su acceso y ejecutar código en el contenedor del servidor web de Fides subyacente donde se ejecuta la función de renderizado de plantillas de Jinja. La vulnerabilidad se ha corregido en la versión "2.44.0" de Fides. Se recomienda a los usuarios que actualicen a esta versión o una posterior para proteger sus sistemas contra esta amenaza. No hay workarounds.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto