PT-2024-39485 · Eclipse · Eclipse Dataspace Components
Marta Rybczynska
·
Publicado
2024-09-27
·
Atualizado
2025-01-09
·
CVE-2024-9202
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/RE:M/U:Amber |
Nome do software vulnerável e versões afetadas
Eclipse Dataspace Components, versões 0.1.3 a 0.9.0
Descrição
A vulnerabilidade diz respeito ao componente Connector do Eclipse Dataspace Components, responsável por filtrar conjuntos de dados que terceiros podem visualizar em um catálogo solicitado. No entanto, existe a possibilidade de solicitar um único conjunto de dados sem a filtragem correta, o que pode permitir que terceiros visualizem conjuntos de dados aos quais não deveriam ter acesso e expor informações confidenciais. A exploração dessa vulnerabilidade requer o conhecimento do ID de um conjunto de dados restrito, mas alguns IDs podem ser adivinhados por meio de tentativas automatizadas.
Recomendações
Para as versões 0.1.3 a 0.9.0 do Eclipse Dataspace Components, aplique a correção imediatamente para mitigar os riscos. Como solução alternativa temporária, considere restringir o acesso à função
DatasetResolverImpl até que uma correção esteja disponível. Evite usar o código afetado na função DatasetResolverImpl, especificamente as linhas 76 a 79, até que a vulnerabilidade seja resolvida.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eclipse Dataspace Components