Vulnerabilidad en Fides (CVE-2024-52008)

Fides es una plataforma de ingeniería de privacidad de código abierto. El endpoint de la API de aceptación de invitaciones de usuarios carece de la aplicación de políticas de contraseñas del lado del servidor, lo que permite a los usuarios establecer contraseñas arbitrariamente débiles al eludir la validación del lado del cliente. Si bien la interfaz de usuario aplica requisitos de complejidad de contraseñas, las llamadas API directas pueden eludir estas comprobaciones, lo que permite la creación de cuentas con contraseñas tan cortas como un solo carácter. Cuando se habilita un proveedor de mensajería de correo electrónico y se crea una nueva cuenta de usuario en el sistema, se envía un correo electrónico de invitación que contiene un enlace especial a la dirección de correo electrónico del nuevo usuario. Este enlace dirige al nuevo usuario a una página donde puede establecer su contraseña inicial. Si bien la interfaz de usuario implementa comprobaciones de complejidad de contraseñas, estas validaciones solo se realizan del lado del cliente. El endpoint de la API subyacente `/api/v1/user/accept-invite` no implementa las mismas validaciones de políticas de contraseñas. Esta vulnerabilidad permite que un usuario invitado establezca una contraseña extremadamente débil para su propia cuenta durante el proceso de configuración inicial de la cuenta. Por lo tanto, la cuenta de ese usuario específico puede verse comprometida fácilmente por un atacante que adivine o use la fuerza bruta para adivinar la contraseña. La vulnerabilidad ha sido corregida en la versión 2.50.0 de Fides. Se recomienda a los usuarios que actualicen a esta versión o a una posterior para proteger sus sistemas contra esta amenaza. No existen workarounds para esta vulnerabilidad.