Informazioni sul CVE-2024-35189
Sensitive Data Disclosure Vulnerability in Connection Configuration Endpoints in Fides
CWE ID: CWE-201
Base Score (CVSS): N/A
CVE: CVE-2024-35189
Descrizione: Fides è una piattaforma di ingegneria di privacy open-source. Il server web di Fides ha diversi endpoint che recuperano i record `ConnectionConfiguration` e i loro associati `secrets` che _possono_ contenere dati sensibili (ad es. password, chiavi private, ecc.). Questi `secrets` sono memorizzati in modo crittografato in modo situato (nel database dell’applicazione), e gli endpoint associati non sono destinati a rivelare tale dati sensibile in plaintext a client API, poiché potrebbe compromettere. Gli sviluppatori di Fides hanno a disposizione un campo-attributo Pydantic (`sensitive`) che possono annotare come `True` per indicare che un determinato campo segreto non deve essere esposto tramite l’API. L’applicazione ha una funzione interna che utilizza l’annotazione `sensitive` per mascherare i campi sensibili con un valore placeholder `”**********”`. Questa vulnerabilità è dovuta a un bug in quella funzione, che impediva di mascherare correttamente i campi API `sensitive` che _erano_ nidificati sotto il livello radice di un oggetto `secrets`. Solo i segreti della configurazione BigQuery con schema nidificato `keyfile_creds.private_key` in plaintext sono mascherati con questo criterio, e non sono influenzati da questa vulnerabilità. Questa vulnerabilità è stata corretta nella versione 2.37.0 di Fides. Gli utenti sono consigliati di aggiornare a questa versione o a una successiva per proteggere i loro sistemi da questa minaccia. Gli utenti sono inoltre consigliati a ruotare qualsiasi segreto Google Cloud utilizzato per le integrazioni BigQuery nelle loro implementazioni di Fides. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/ethyca/fides/security/advisories/GHSA-rcvg-jj3g-rj7c
- https://cloud.google.com/iam/docs/key-rotation
Prodotti interessati
- ethyca – fides
Relazioni con altri prodotti
Produttore:ethyca
Prodotto: fides
Anno: 2024
CWE: CWE-201
CVSS: 0.0