Informazioni sul CVE-2024-38537
Inclusion of Untrusted polyfill.io Code Vulnerability in fides.js
CWE ID: CWE-829
Base Score (CVSS): N/A
CVE: CVE-2024-38537
Descrizione: Fides è una piattaforma di ingegneria di privacy open-source. `fides.js`, uno script client-side utilizzato per interagire con le funzionalità di consenso di Fides, utilizzò il dominio `polyfill.io` in un caso molto limitato, quando ha rilevato un browser legacy come IE11 che non supportava lo standard fetch. Di conseguenza, era possibile per gli utenti di browser legacy pre-2.017 che navigavano a una pagina che serviva `fides.js` scaricare e eseguire script dannosi dal dominio `polyfill.io` quando il dominio era compromesso e serviva malware. Non è stato identificato alcun sfruttamento di `fides.js` tramite `polyfill.io` fino alla pubblicazione. La vulnerabilità è stata corretta nella versione `2.39.1` di Fides. Gli utenti sono consigliati di aggiornare a questa versione o a una successiva per proteggere i loro sistemi da questa minaccia. Il 27 giugno 2024, Cloudflare e Namecheap hanno intervenuto a livello di dominio per impedire che il dominio `polyfill.io` e i suoi sotto-domini potessero essere risolti al servizio compromesso, rendendo questa vulnerabilità non sfruttabile. Prima dell’intervento a livello di dominio, non c’erano soluzioni lato server e l’impatto sulla riservatezza, integrità e disponibilità di questa vulnerabilità era alto. Gli utenti potevano garantire di non essere colpiti utilizzando un browser moderno che supportava lo standard fetch.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/ethyca/fides/security/advisories/GHSA-cvw4-c69g-7v7m
- https://github.com/ethyca/fides/pull/5026
- https://github.com/ethyca/fides/commit/868c4d629760572192bd61db34f5a4458ed12005
- https://fetch.spec.whatwg.org
- https://sansec.io/research/polyfill-supply-chain-attack
Prodotti interessati
- ethyca – fides
Relazioni con altri prodotti
Produttore:ethyca
Prodotto: fides
Anno: 2024
CWE: CWE-829
CVSS: 0.0