nvd,anchore_overrides
Ethyca
Уязвимости
22
Эксплуатируемые
0
Критический
2
Высокий
6
Топ продуктов
Топ уязвимостей
CVE-2024-38537Fides — это платформа разработки конфиденциальности с открытым исходным кодом. `fides.js`, клиентский скрипт, используемый для взаимодействия с функциями управления согласием Fides, использовал домен `polyfill.io` в очень ограниченном пограничном случае, когда он обнаруживал устаревший браузер, такой как IE11, который не поддерживал стандарт fetch. Поэтому пользователи устаревших браузеров до 2017 года, которые переходят на страницу, обслуживающую `fides.js`, могли загружать и выполнять вредоносные скрипты из домена `polyfill.io`, когда домен был скомпрометирован и обслуживал вредоносное ПО. По состоянию на момент публикации не было выявлено никаких случаев эксплуатации `fides.js` через `polyfill.io`.
Уязвимость была исправлена в версии Fides `2.39.1`. Пользователям рекомендуется обновиться до этой или более поздней версии, чтобы защитить свои системы от этой угрозы. В четверг, 27 июня 2024 г., Cloudflare и Namecheap вмешались на уровне домена, чтобы гарантировать, что `polyfill.io` и его поддомены не смогут разрешиться в скомпрометированную службу, что сделало эту уязвимость неэксплуатируемой. До вмешательства на уровне домена не было обходных путей на стороне сервера, а воздействие этой уязвимости на конфиденциальность, целостность и доступность было высоким. Клиенты могли гарантировать, что они не затронуты, используя современный браузер, поддерживающий стандарт fetch.
CVE-2023-48224Fides - это платформа для разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов о конфиденциальности данных в среде выполнения и обеспечения соблюдения правил конфиденциальности в коде. Центр конфиденциальности Fides позволяет субъектам данных отправлять запросы о конфиденциальности и согласии пользователям-контроллерам данных веб-приложения Fides. Запросы о конфиденциальности позволяют субъектам данных отправлять запрос на доступ ко всем персональным данным, хранящимся контроллером данных, или удалять/стирать их. Запрос согласия позволяет субъектам данных изменять свои предпочтения конфиденциальности в отношении того, как контроллер данных использует их персональные данные, например, согласие на продажу и передачу данных с возможностью отказа. Если `subject_identity_verification_required` в разделе `[execution]` файла `fides.toml` или переменная среды `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` установлена в `True` на серверной части веб-сервера fides, субъектам данных отправляется одноразовый код на их адрес электронной почты или номер телефона, в зависимости от конфигурации обмена сообщениями, и этот одноразовый код должен быть введен в пользовательском интерфейсе Центра конфиденциальности субъектом данных до отправки запроса о конфиденциальности или согласии. Было выявлено, что одноразовые коды для этих запросов генерируются модулем python `random`, криптографически слабым генератором псевдослучайных чисел (PNRG). Если злоумышленник сгенерирует несколько сотен последовательных одноразовых кодов, эта уязвимость позволит злоумышленнику предсказывать все будущие значения одноразовых кодов в течение всего времени жизни серверного процесса python. Нет никакого влияния на безопасность запросов на доступ к данным, поскольку пакет загрузки персональных данных не передается в самом Центре конфиденциальности. Однако эта уязвимость позволяет злоумышленнику (i) отправить подтвержденный запрос на удаление данных, что приведет к удалению данных для целевого пользователя, и (ii) отправить подтвержденный запрос согласия, изменяющий настройки конфиденциальности пользователя. Уязвимость была исправлена в версии Fides `2.24.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Известные обходные пути для этой уязвимости отсутствуют.
CVE-2025-57817Fides - это открытая платформа для обеспечения конфиденциальности. До версии 2.69.1 конечные точки создания и обновления OAuth-клиента в Fides Webserver API не обеспечивали должную авторизацию назначения области действия. Это позволяло пользователям с высоким уровнем привилегий создавать или обновлять OAuth-клиенты с неавторизованными областями [1].
Уязвимость была исправлена в версии Fides 2.69.1. Доступных обходных путей нет.
Источники:
- [1] https://github.com/ethyca/fides/security/advisories/GHSA-hjfh-p8f5-24wr
- [2] https://github.com/ethyca/fides/commit/2ffd125e1089a09b84c27fb5279a05960cbf2452
- [3] https://github.com/ethyca/fides/releases/tag/2.69.1
CVE-2023-36827Fides - это платформа для разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность данных в среде выполнения и обеспечения соблюдения правил конфиденциальности в коде. Уязвимость обхода пути (directory traversal) затрагивает версии fides ниже версии `2.15.1`, позволяя удаленным злоумышленникам получать доступ к произвольным файлам в файловой системе веб-сервера fides. Уязвимость исправлена в fides `2.15.1`. Если API веб-сервера Fides не является напрямую доступным для злоумышленников и вместо этого развернут за обратным прокси-сервером, как рекомендовано в документации по передовым методам обеспечения безопасности Ethyca, а обратный прокси-сервер является балансировщиком нагрузки приложений AWS, то уязвимость не может быть использована этими злоумышленниками. Балансировщик нагрузки приложений AWS отклонит эту атаку с ошибкой 400. Кроме того, никакие секреты, предоставленные контейнеру с использованием переменных среды, а не файла конфигурации `fides.toml`, не подвержены этой уязвимости.
CVE-2024-45053Fides — это платформа для проектирования конфиденциальности с открытым исходным кодом. Начиная с версии 2.19.0 и до версии 2.44.0, функция шаблонов электронной почты использует Jinja2 без надлежащей очистки входных данных или ограничений среды рендеринга, что позволяет выполнять инъекцию шаблонов на стороне сервера, которая предоставляет удаленное выполнение кода привилегированным пользователям. Привилегированный пользователь — это пользователь Admin UI с ролью `Owner` или `Contributor` по умолчанию, который может расширить свой доступ и выполнить код в базовом контейнере Fides Webserver, где выполняется функция рендеринга шаблонов Jinja. Уязвимость была устранена в версии Fides `2.44.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Обходных путей нет.
CVE-2023-46124Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность данных в средах выполнения и обеспечения соблюдения правил конфиденциальности в коде. Веб-приложение Fides позволяет загружать пользовательскую интеграцию в виде ZIP-файла, содержащего определения конфигурации и набора данных в формате YAML. Было обнаружено, что специально созданные файлы набора данных и конфигурации YAML позволяют злонамеренному пользователю выполнять произвольные запросы к внутренним системам и извлекать данные за пределы среды (также известное как подделка запросов на стороне сервера). Приложение не выполняет надлежащую проверку, чтобы блокировать попытки подключения к внутренним (включая localhost) ресурсам. Уязвимость была исправлена в Fides версии `2.22.1`.
CVE-2023-41319Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов конфиденциальности данных в среде выполнения и обеспечения соблюдения правил конфиденциальности в коде. Веб-сервер Fides API позволяет загружать пользовательские интеграции в виде ZIP-файла. Этот ZIP-файл должен содержать YAML-файлы, но Fides можно настроить так, чтобы он также принимал включение пользовательского кода Python. Пользовательский код выполняется в ограниченной, изолированной среде, но изолированную среду можно обойти для выполнения произвольного кода. Уязвимость позволяет выполнять произвольный код в целевой системе в контексте владельца процесса python веб-сервера в контейнере веб-сервера, которым по умолчанию является `root`, и использовать этот доступ для атаки на базовую инфраструктуру и интегрированные системы. Эта уязвимость затрагивает версии Fides `2.11.0`–`2.19.0`. Эксплуатация ограничена клиентами API с областью авторизации `CONNECTOR_TEMPLATE_REGISTER`. В пользовательском интерфейсе администратора Fides эта область ограничена пользователями с высокими привилегиями, в частности, корневыми пользователями и пользователями с ролью владельца. Эксплуатация возможна только в том случае, если параметр конфигурации безопасности `allow_custom_connector_functions` включен пользователем, развертывающим контейнер веб-сервера Fides, либо в `fides.toml`, либо путем установки переменной среды `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS=True`. По умолчанию этот параметр конфигурации отключен. Уязвимость была исправлена в версии Fides `2.19.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Пользователи, которые не могут обновиться, должны убедиться, что `allow_custom_connector_functions` в `fides.toml` и `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS` либо не заданы, либо явно установлены в `False`.
CVE-2026-44541Fides - это платформа для разработки конфиденциальности с открытым исходным кодом. От версии 2.33.0 до версии 2.84.5, существует уязвимость XSS на основе DOM в fides.js через fides_derede. Эта проблема была исправлена в версии 2.84.5.
CVE-2024-35189Fides — это платформа для разработки конфиденциальности с открытым исходным кодом. Веб-сервер Fides имеет ряд конечных точек, которые извлекают записи `ConnectionConfiguration` и связанные с ними `secrets`, которые _могут_ содержать конфиденциальные данные (например, пароли, закрытые ключи и т. д.). Эти `secrets` хранятся в зашифрованном виде в состоянии покоя (в базе данных приложения), и связанные с ними конечные точки не предназначены для предоставления этих конфиденциальных данных в виде простого текста клиентам API, поскольку это может быть скомпрометировано. Разработчики Fides имеют в своем распоряжении атрибут поля Pydantic (`sensitive`), который они могут аннотировать как `True`, чтобы указать, что данное секретное поле не должно быть предоставлено через API. Приложение имеет внутреннюю функцию, которая использует аннотации `sensitive` для маскировки конфиденциальных полей с помощью значения заполнителя `"**********"`. Эта уязвимость связана с ошибкой в этой функции, которая не позволяла маскировать должным образом поля модели API `sensitive`, которые были _вложены_ ниже корневого уровня объекта `secrets`. Этим критериям соответствуют только секреты конфигурации подключения `BigQuery`: схема секретов имеет вложенное конфиденциальное свойство `keyfile_creds.private_key`, которое предоставляется в виде простого текста через API. На типы подключений, отличные от `BigQuery`, с конфиденциальными полями на корневом уровне, которые не вложены, правильно накладывается маска с помощью заполнителя, и они не подвержены этой уязвимости. Эта уязвимость была исправлена в Fides версии 2.37.0. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Пользователям также рекомендуется сменить все секреты Google Cloud, используемые для интеграции BigQuery в их развертываниях Fides. Обходных путей для этой уязвимости не существует.
CVE-2023-46125Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность данных в среде выполнения и обеспечения соблюдения правил конфиденциальности в коде. API веб-сервера Fides позволяет пользователям получать свою конфигурацию с помощью конечной точки `GET api/v1/config`. Данные конфигурации фильтруются для подавления большей части конфиденциальной информации о конфигурации, прежде чем они будут возвращены пользователю, но даже отфильтрованные данные содержат информацию о внутренних компонентах и серверной инфраструктуре, такую как различные настройки, адреса и порты серверов и имя пользователя базы данных. Эта информация полезна как для пользователей с правами администратора, так и для злоумышленников, поэтому ее не следует раскрывать пользователям с низкими привилегиями. Эта уязвимость позволяет пользователям Admin UI с ролями ниже, чем роль владельца, например роль наблюдателя, получать информацию о конфигурации с помощью API. Уязвимость была исправлена в Fides версии `2.22.1`.
CVE-2025-57816В Fides Webserver API обнаружена уязвимость, связанная с неэффективностью встроенного ограничения частоты запросов на основе IP-адреса в средах с CDN, прокси или балансировщиками нагрузки. Это позволяет злоумышленникам обойти ограничения и потенциально вызвать отказ в обслуживании [1].
Дополнительная информация:
Уязвимость имеет две составляющие:
1. Ограничение частоты запросов использует IP-адрес исходного соединения вместо фактического IP-адреса клиента.
2. Счетчики ограничения частоты запросов хранятся в памяти контейнера, а не в общем хранилище.
Рекомендуемые меры по исправлению:
1. **Обновление Fides:** Обновите Fides до версии 2.69.1 или выше.
2. **Внедрение внешнего ограничения частоты запросов:** Используйте внешние решения, такие как WAF, API-шлюз или аналогичные технологии.
Источники:
- [1] https://github.com/ethyca/fides/security/advisories/GHSA-fq34-xw6c-fphf
- [2] https://github.com/ethyca/fides/commit/59903c195e2f9f8915a1db94950aefd557033a5c
- [3] https://github.com/ethyca/fides/releases/tag/2.69.1
CVE-2026-42303Fides - это платформа для разработки конфиденциальности с открытым исходным кодом. С 2.75.0 до 2.83.2 развертывание Fides, которое позволяет как проверять личность субъекта, так и дублировать обнаружение запросов на конфиденциальность, зависит от уязвимости, в которой администратор может одобрить запрос на конфиденциальность, личность которого никогда не была проверена. Для политики удаления это может привести к несанкционированному удалению записей субъекта данных по каждой интеграции, настроенной при затрагиваемом развертывании. Эта уязвимость зафиксирована в пункте 2.83.2.
CVE-2023-47114Fides - это платформа для разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов о конфиденциальности данных в вашей среде выполнения и обеспечения соблюдения правил конфиденциальности в вашем коде. Веб-приложение Fides позволяет субъектам данных запрашивать доступ к своим персональным данным. Если запрос одобрен пользователем-контроллером данных, управляющим веб-приложением Fides, персональные данные субъекта данных могут быть извлечены из подключенных систем и хранилищ данных, прежде чем будут объединены в пакет запроса на доступ к данным субъекта данных для загрузки субъектом данных. Поддерживаемые форматы данных для пакета включают json и csv, но наиболее часто используемым форматом является серия HTML-файлов, сжатых в ZIP-файл. После загрузки и распаковки субъект данных может просматривать HTML-файлы на своем локальном компьютере. Было обнаружено, что отсутствует проверка входных данных, поступающих, например, из подключенных систем и хранилищ данных, которые позже отражаются в загруженных данных. Это может привести к HTML-инъекции, которая может быть использована, например, для фишинговых атак или выполнения вредоносного кода JavaScript, но только в контексте браузера субъекта данных, обращающегося к HTML-странице с использованием протокола `file://`. Эксплуатация ограничена недобросовестными пользователями Admin UI, вредоносными пользователями подключенной системы/хранилища данных и субъектом данных, если его обманом с помощью социальной инженерии заставляют самостоятельно отправлять вредоносные данные. Эта уязвимость была исправлена в версии 2.23.3.
CVE-2023-46126Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность данных в средах выполнения, помогающая обеспечивать соблюдение правил конфиденциальности в коде. Веб-приложение Fides позволяет пользователям редактировать уведомления о согласии и конфиденциальности, такие как баннеры cookie. Уязвимость позволяет создать полезную нагрузку в URL-адресе политики конфиденциальности, которая запускает выполнение JavaScript, когда уведомление о конфиденциальности обслуживается интегрированным веб-сайтом. Область действия домена выполняемого JavaScript — это интегрированный веб-сайт. Эксплуатация ограничена пользователями Admin UI с ролью участника или выше. Уязвимость была исправлена в Fides версии `2.22.1`.
CVE-2024-45052Fides — это платформа для проектирования конфиденциальности с открытым исходным кодом. До версии 2.44.0 в аутентификации Fides Webserver существует уязвимость перечисления имен пользователей на основе времени. Эта уязвимость позволяет не прошедшему проверку подлинности злоумышленнику определить существование действительных имен пользователей, анализируя время, необходимое серверу для ответа на запросы на вход в систему. Разницу во времени ответа между действительными и недействительными именами пользователей можно использовать для перечисления пользователей в системе. Эта уязвимость позволяет проводить атаку перечисления имен пользователей на основе времени. Злоумышленник может систематически угадывать и проверять, какие имена пользователей являются действительными, измеряя время ответа сервера на запросы аутентификации. Эта информация может использоваться для проведения дальнейших атак на аутентификацию, таких как перебор паролей и перебор учетных данных. Уязвимость была устранена в версии Fides `2.44.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Обходных путей нет.
CVE-2024-31223Fides - это платформа для разработки конфиденциальности с открытым исходным кодом, а `SERVER_SIDE_FIDES_API_URL` - это переменная среды конфигурации на стороне сервера, используемая Fides Privacy Center для связи с серверной частью веб-сервера Fides. Значение этой переменной является URL-адресом, который обычно включает частный IP-адрес, частное доменное имя и/или порт. Уязвимость, присутствующая в версиях с 2.19.0 до 2.39.2rc0, позволяет не прошедшему аутентификацию злоумышленнику отправлять HTTP GET-запрос из Privacy Center, который раскрывает значение этого URL-адреса на стороне сервера. Это может привести к раскрытию конфигурации на стороне сервера, предоставляя злоумышленнику информацию о портах на стороне сервера, частных IP-адресах и/или частных доменных именах. Уязвимость была исправлена в Fides версии 2.39.2rc0. Обходные пути отсутствуют.
CVE-2023-37481Fides - это платформа для проектирования конфиденциальности с открытым исходным кодом для управления запросами на конфиденциальность данных и правилами конфиденциальности. Веб-сервер Fides уязвим для типа атаки типа "отказ в обслуживании" (DoS). Злоумышленники могут использовать эту уязвимость для загрузки zip-файлов, содержащих вредоносные SVG-бомбы (аналогичные атаке "миллиард смехов"), вызывая исчерпание ресурсов во вкладках браузера Admin UI и создавая постоянный отказ в обслуживании страницы "новый соединитель" (`datastore-connection/new`). Эта уязвимость затрагивает версии Fides `2.11.0` до `2.15.1`. Эксплуатация ограничена пользователями с повышенными привилегиями с областью `CONNECTOR_TEMPLATE_REGISTER`, которая включает корневых пользователей и пользователей с ролью владельца. Уязвимость была исправлена в версии Fides `2.16.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Не существует известного обходного пути для устранения этой уязвимости без обновления.
CVE-2023-37480Fides - это платформа для проектирования конфиденциальности с открытым исходным кодом для управления запросами на конфиденциальность данных и правилами конфиденциальности. Веб-сервер Fides уязвим для типа атаки типа "отказ в обслуживании" (DoS). Злоумышленники могут использовать слабость в функции загрузки шаблона соединителя для загрузки вредоносного zip-файла, что приведет к исчерпанию ресурсов и недоступности службы для всех пользователей веб-сервера Fides. Эта уязвимость затрагивает версии Fides `2.11.0` до `2.15.1`. Эксплуатация ограничена пользователями с повышенными привилегиями с областью `CONNECTOR_TEMPLATE_REGISTER`, которая включает корневых пользователей и пользователей с ролью владельца. Уязвимость была исправлена в версии Fides `2.16.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Не существует известного обходного пути для устранения этой уязвимости без обновления. В случае атаки последствия можно смягчить путем ручного или автоматического перезапуска затронутого контейнера.
CVE-2024-34715Fides — это платформа для разработки конфиденциальности с открытым исходным кодом. Веб-сервер Fides требует подключения к размещенной базе данных PostgreSQL для постоянного хранения данных приложения. Если пароль, используемый веб-сервером для этого подключения к базе данных, содержит специальные символы, такие как `@` и `$`, запуск веб-сервера завершается с ошибкой, а часть пароля после специального символа отображается в журналах ошибок веб-сервера. Это вызвано неправильным экранированием строки пароля SQLAlchemy. В результате пользователи подвергаются частичному раскрытию пароля размещенной базы данных в журналах веб-сервера. Уязвимость была исправлена в версии Fides `2.37.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Известных обходных путей для этой уязвимости нет.
CVE-2024-52008Fides - это платформа разработки конфиденциальности с открытым исходным кодом. Конечная точка API принятия приглашения пользователя не имеет принудительного применения политики паролей на стороне сервера, что позволяет пользователям устанавливать произвольно слабые пароли, обходя проверку на стороне клиента. Хотя пользовательский интерфейс обеспечивает соблюдение требований к сложности пароля, прямые вызовы API могут обойти эти проверки, что позволяет создавать учетные записи с паролями длиной всего в один символ. Когда включен поставщик обмена сообщениями электронной почты и в системе создается новая учетная запись пользователя, на адрес электронной почты нового пользователя отправляется пригласительное письмо, содержащее специальную ссылку. Эта ссылка направляет нового пользователя на страницу, где он может установить свой первоначальный пароль. Хотя пользовательский интерфейс реализует проверки сложности пароля, эти проверки выполняются только на стороне клиента. Базовая конечная точка API `/api/v1/user/accept-invite` не реализует те же проверки политики паролей. Эта уязвимость позволяет приглашенному пользователю установить чрезвычайно слабый пароль для своей учетной записи во время процесса первоначальной настройки учетной записи. Поэтому учетная запись этого конкретного пользователя может быть легко скомпрометирована злоумышленником, угадывающим или перебирающим пароль. Уязвимость была исправлена в Fides версии `2.50.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Известных обходных путей для этой уязвимости нет.
CVE-2025-57815Fides - это открытая платформа для обеспечения приватности. В версиях до 2.69.1 конечная точка входа в Fides Admin UI полагается на общий лимит скорости, основанный на IP-адресе, для всего трафика API и не имеет конкретных механизмов защиты от атак перебора. Это позволяет злоумышленникам проводить атаки по подбору учетных данных [1]. Исправление доступно в версии 2.69.1. Для обладателей коммерческих лицензий Fides Enterprise эффективным обходным решением является настройка единого входа (SSO) через OIDC-провайдера.
Источники:
- [1] https://github.com/ethyca/fides/security/advisories/GHSA-7q62-r88r-j5gw
- [2] https://github.com/ethyca/fides/commit/59903c195e2f9f8915a1db94950aefd557033a5c
- [3] https://github.com/ethyca/fides/releases/tag/2.69.1
CVE-2025-57766Fides - это открытая платформа приватности. До версии 2.69.1 изменения пароля пользователя в admin UI Fides не делают недействительными активные сессии пользователя, создавая возможность объединения уязвимостей, при которой злоумышленники, получившие токены сессии через другие векторы атак (такие как XSS), могут сохранить доступ даже после сброса пароля. Эта проблема не является напрямую эксплуатируемой сама по себе и требует предварительной уязвимости для получения действительных токенов сессии [1].
Источники:
- [1] https://github.com/ethyca/fides/security/advisories/GHSA-rpw8-82v9-3q87
- [2] https://github.com/ethyca/fides/commit/8daec4f5ad3daf0f0bdab4814f6757eb0965104b
- [3] https://github.com/ethyca/fides/releases/tag/2.69.1