CVE-2024-52008

Versões do Fides anteriores à 2.50.0

O endpoint da API de aceitação de convite de usuário /api/v1/user/accept-invite não possui aplicação de políticas de senha no lado do servidor, permitindo que os usuários definam senhas arbitrariamente fracas ao contornar a validação no lado do cliente. Embora a interface do usuário imponha requisitos de complexidade de senha, chamadas diretas à API podem contornar essas verificações, permitindo a criação de contas com senhas de apenas um caractere. Essa vulnerabilidade permite que um usuário convidado defina uma senha extremamente fraca para sua própria conta durante o processo inicial de configuração, tornando-a facilmente comprometível por um invasor que adivinhe ou utilize um ataque de força bruta para descobrir a senha.

Para versões do Fides anteriores à 2.50.0, atualize para a versão 2.50.0 ou posterior para proteger o sistema contra essa ameaça. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API /api/v1/user/accept-invite até que o patch seja aplicado. Evite usar senhas fracas para novas contas de usuário até que o problema seja resolvido. Não há outras soluções alternativas conhecidas para essa vulnerabilidade.