CVE-2024-45053

Versões do Fides 2.19.0 a 2.43.x

O recurso de modelos de e-mail do Fides utiliza o Jinja2 sem a devida sanitização de entradas ou restrições no ambiente de renderização, permitindo a injeção de modelos no lado do servidor (Server-Side Template Injection), o que possibilita a execução remota de código por usuários privilegiados. Um usuário privilegiado refere-se a um usuário da interface de usuário administrativa com a função padrão Owner ou Contributor, que pode escalar seu acesso e executar código no contêiner do servidor web Fides subjacente, onde a função de renderização de modelos Jinja é executada. A vulnerabilidade permite que um invasor com privilégios suficientes execute código arbitrário remotamente e escale seus privilégios para os de um usuário no contêiner do servidor web Fides, concedendo controle sobre o aplicativo do servidor web Fides e acesso não autorizado a recursos integrados.

Para as versões 2.19.0 a 2.43.x do Fides, atualize para a versão 2.44.0 ou posterior para proteger seu sistema contra essa ameaça.

Como solução alternativa temporária, considere restringir o acesso ao recurso de Modelos de E-mail para usuários não privilegiados até que um patch seja aplicado.

Restrinja o acesso ao endpoint da API PUT /api/v1/messaging/templates/ para minimizar o risco de exploração.

Evite usar o escopo messaging-template:update para clientes OAuth até que o problema seja resolvido.

No momento, não há outras informações sobre soluções alternativas adicionais.