Adamsachs

**Nome do software vulnerável e versões afetadas** Versões do Fides anteriores à 2.37.0 **Descrição** O servidor web do Fides possui vários pontos de extremidade que recuperam registros `ConnectionConfiguration` e seus `segredos` associados, os quais podem conter dados confidenciais. Esses `segredos` são armazenados criptografados em repouso, e os pontos de extremidade associados não devem expor esses dados confidenciais em texto simples aos clientes da API. O aplicativo possui uma função interna que usa anotações `sensitive` para mascarar os campos confidenciais com um valor de preenchimento “**********”. Esse problema se deve a um bug nessa função, que impedia que campos do modelo de API `sensitive` aninhados abaixo do nível raiz de um objeto `secrets` fossem mascarados adequadamente. Apenas os segredos de configuração de conexão `BigQuery` atendem a esses critérios, com uma propriedade sensível aninhada `keyfile creds.private key` que é exposta em texto simples por meio das APIs. Os endpoints afetados incluem “GET /api/v1/connections”, “PATCH /api/v1/connections”, “GET /api/v1/connection/{connection key}”, “PATCH /api/v1/system/{system key}/connection”, “GET /api/v1/system/{system key}” e “GET /api/v1/system/{system key}/connection”. **Recomendações** Para resolver o problema, atualize para a versão 2.37.0 ou posterior do Fides. Além disso, renove quaisquer segredos do Google Cloud usados para integrações com o BigQuery nas implantações do Fides. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API afetados até que o problema seja resolvido. Evite usar o `k