CVE-2024-31223
Fides Information Disclosure Vulnerability in Privacy Center of SERVER_SIDE_FIDES_API_URL
En resumen
Una vulnerabilidad en Fides Privacy Center permite que atacantes descubran la configuración privada de la URL del servidor mediante una solicitud HTTP no autenticada, exponiendo información sensible como direcciones IP internas y puertos.
Detalle técnico
Vulnerabilidad de divulgación de información (CWE-497) en versiones de Fides de 2.19.0 a 2.39.1 que permite a atacantes no autenticados recuperar el valor de la variable SERVER_SIDE_FIDES_API_URL a través de solicitudes HTTP GET al Privacy Center, exponiendo detalles de infraestructura de backend incluyendo IPs privadas, nombres de dominio y puertos. Corregida en versión 2.39.2rc0.
Resumen generado y traducido por IA a partir de la descripción oficial.
Fides is an open-source privacy engineering platform, and `SERVER_SIDE_FIDES_API_URL` is a server-side configuration environment variable used by the Fides Privacy Center to communicate with the Fides webserver backend. The value of this variable is a URL which typically includes a private IP address, private domain name, and/or port. A vulnerability present starting in version 2.19.0 and prior to version 2.39.2rc0 allows an unauthenticated attacker to make a HTTP GET request from the Privacy Center that discloses the value of this server-side URL. This could result in disclosure of server-side configuration giving an attacker information on server-side ports, private IP addresses, and/or private domain names. The vulnerability has been patched in Fides version 2.39.2rc0. No known workarounds are available.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
ethyca · fides¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →