PT-2024-26129 · Unknown+1 · Sqlalchemy+2
Tariqajyusuf
·
Publicado
2024-05-29
·
Atualizado
2024-05-29
·
CVE-2024-34715
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Fides anteriores à 2.37.0
Descrição
O servidor web do Fides requer uma conexão com um banco de dados PostgreSQL hospedado para o armazenamento persistente dos dados da aplicação. Se a senha usada pelo servidor web para essa conexão com o banco de dados incluir caracteres especiais, como
@ e $, a inicialização do servidor web falhará e a parte da senha após o caractere especial ficará exposta nos logs de erros do servidor web. Isso é causado por um escape inadequado da string de senha do SQLAlchemy. Como resultado, os usuários estão sujeitos a uma exposição parcial da senha do banco de dados hospedado nos logs do servidor web.Recomendações
Para versões do Fides anteriores à 2.37.0, atualize para a versão 2.37.0 ou posterior para proteger os sistemas contra essa ameaça.
Como solução alternativa temporária, considere evitar o uso de caracteres especiais, como
@ e $, na senha para a conexão com o banco de dados até que o problema seja resolvido.Não há outras soluções alternativas conhecidas para esse problema.
Exploit
Correção
Insertion into Log File
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fides
Postgresql
Sqlalchemy