Vulnerabilidad en Minder (CVE-2024-35185)

Minder es una plataforma de seguridad de la cadena de suministro de software. Antes de la versión 0.0.49, el integrador REST de Minder es vulnerable a un ataque de denegación de servicio a través de un endpoint REST controlado por un atacante que puede bloquear el servidor Minder. El recopilador REST permite a los usuarios interactuar con endpoints REST para recuperar datos para la evaluación de reglas. Al recuperar datos con el ingestador REST, Minder envía una solicitud a un endpoint y utilizará los datos del cuerpo de la respuesta como datos para evaluar según una regla determinada. Si la respuesta es lo suficientemente grande, puede agotar la memoria de la máquina y bloquear el servidor Minder. El atacante puede controlar los endpoints REST remotos a los que Minder envía solicitudes y puede configurar los endpoints REST remotos para devolver respuestas con cuerpos grandes. Luego le indicarían a Minder que enviara una solicitud a su endpoint configurado que devolvería una respuesta grande que colapsaría el servidor de Minder. La versión 0.0.49 soluciona este problema.