PT-2024-23864 · Fides · Fides
Robert Keyser
·
Publicado
2024-07-03
·
Atualizado
2025-12-08
·
CVE-2024-31223
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Fides 2.19.0 a 2.39.2rc0
Descrição
Uma vulnerabilidade no Fides permite que um invasor não autenticado faça uma solicitação HTTP GET a partir do Privacy Center, revelando o valor da variável de ambiente de configuração do lado do servidor
SERVER SIDE FIDES API URL. O valor dessa variável é uma URL que normalmente inclui um endereço IP privado, um nome de domínio privado e/ou uma porta. A divulgação dessas informações pode resultar no invasor obtendo conhecimento de portas do lado do servidor, endereços IP privados e/ou nomes de domínio privados.Recomendações
Para as versões do Fides 2.19.0 a 2.39.2rc0, atualize para a versão 2.39.2 ou posterior do Fides para proteger o sistema contra essa ameaça.
Como solução temporária, considere restringir o acesso à página principal do Centro de Privacidade, por exemplo,
https://privacy.example.com, até que o problema seja resolvido.Evite usar a variável de ambiente
SERVER SIDE FIDES API URL no Centro de Privacidade até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fides