Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность дан…
Fides — это платформа разработки конфиденциальности с открытым исходным кодом для управления выполнением запросов на конфиденциальность данных в средах выполнения и обеспечения соблюдения правил конфиденциальности в коде. Веб-приложение Fides позволяет загружать пользовательскую интеграцию в виде ZIP-файла, содержащего определения конфигурации и набора данных в формате YAML. Было обнаружено, что специально созданные файлы набора данных и конфигурации YAML позволяют злонамеренному пользователю выполнять произвольные запросы к внутренним системам и извлекать данные за пределы среды (также известное как подделка запросов на стороне сервера). Приложение не выполняет надлежащую проверку, чтобы блокировать попытки подключения к внутренним (включая localhost) ресурсам. Уязвимость была исправлена в Fides версии `2.22.1`.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →