CVE-2024-38537

Versões do Fides anteriores à 2.39.1

O problema diz respeito ao script do lado do cliente fides.js, que interage com os recursos de gerenciamento de consentimento do Fides. Em um caso extremo e restrito, quando detecta um navegador legado, como o IE11, que não suporta o padrão fetch, o fides.js utiliza o domínio polyfill.io. Isso possibilitou que usuários de navegadores legados, anteriores a 2017, baixassem e executassem scripts maliciosos do domínio polyfill.io quando este foi comprometido e passou a hospedar malware. Não foi identificada nenhuma exploração do fides.js via polyfill.io. O número estimado de dispositivos potencialmente afetados não é mencionado explicitamente, mas observa-se que 97,52% dos usuários de navegadores utilizam um navegador que suporta o padrão fetch.

Para versões do Fides anteriores à 2.39.1, atualize para a versão 2.39.1 ou posterior para proteger os sistemas contra essa ameaça. Como solução temporária, considere usar um navegador moderno que suporte o padrão fetch para minimizar o risco de exploração.