中危 用于 ethyca-fides 中身份验证的一次性代码的弱密码生成 (CVE-2023-48224)
CVE编号
CVE-2023-48224利用情况
暂无补丁情况
官方补丁披露时间
2023-11-16漏洞描述
Fides是一个开源的隐私工程平台,用于在运行环境中管理数据隐私请求的履行和在代码中执行隐私规定的强制执行。Fides隐私中心允许数据主体用户向Fides网络应用的数据控制器用户提交隐私和同意请求。隐私请求允许数据主体提交访问数据控制器所持有的全部个人数据的请求,或者删除/清除数据。同意请求允许数据主体用户修改他们的隐私首选项,例如数据销售和共享的同意选择。如果`fides.toml`的`[execution]`部分中的`subject_identity_verification_required`或环境变量`FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED`在Fides web服务器后端设置为`True`,则数据主体将收到一次性代码发送到其电子邮件地址或电话号码(取决于消息配置),数据主体在提交隐私或同意请求之前必须在隐私中心用户界面中输入该一次性代码。已经发现这些请求的一次性代码值由Python的`random`模块生成,它是一个具有密码学弱伪随机数生成器(PNRG)的模块。如果攻击者生成数百个连续的一次性代码,该漏洞将允许攻击者预测后续在后端Python进程的生命周期内的所有一次性代码的值。对于数据访问请求,隐私中心本身并不共享个人数据下载包,因此不会对数据访问请求造成安全影响。然而,该漏洞允许攻击者(i)提交一个经过验证的数据删除请求,导致目标用户的数据被删除,以及(ii)提交一个经过验证的同意请求,修改用户的隐私首选项。该漏洞在Fides版本`2.24.0`中已被修补。建议用户升级到此版本或更高版本以保护其系统免受此威胁。对于此漏洞,目前没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/ethyca/fides/commit/685bae61c203d29ed189f4b066a5223a9bb774c6 | |
| https://github.com/ethyca/fides/security/advisories/GHSA-82vr-5769-6358 | |
| https://peps.python.org/pep-0506/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | ethyca | fides | * | Up to (excluding) 2.24.0 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论