Vulnerabilidad en Fides (CVE-2023-47114)

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de las solicitudes de privacidad de datos en su entorno de ejecución y la aplicación de las regulaciones de privacidad en su código. La aplicación web de Fides permite a los usuarios interesados solicitar el acceso a sus datos personales. Si la solicitud es aprobada por el usuario del controlador de datos que opera la aplicación web de Fides, los datos personales del interesado se pueden recuperar de los sistemas y almacenes de datos conectados antes de agruparlos como un paquete de solicitud de acceso del interesado para que el interesado los descargue. Los formatos de datos admitidos por el paquete incluyen json y csv, pero el formato más utilizado es una serie de archivos HTML comprimidos en un archivo ZIP. Una vez descargados y descomprimidos, el usuario interesado puede explorar los archivos HTML en su máquina local. Se identificó que no hubo validación de las entradas provenientes, por ejemplo, de los sistemas conectados y los almacenes de datos, lo que luego se refleja en los datos descargados. Esto puede dar lugar a una inyección de HTML de la que se puede abusar, por ejemplo, para ataques de phishing o ejecución de código JavaScript malicioso, pero sólo en el contexto del navegador del interesado que accede a una página HTML utilizando el protocolo `file://`. La explotación se limita a usuarios no autorizados de la interfaz de usuario de administración, a usuarios maliciosos del sistema conectado/almacenamiento de datos y al usuario interesado si se le engaña mediante ingeniería social para que envíe datos maliciosos. Esta vulnerabilidad ha sido parcheada en la versión 2.23.3.