CVE-2026-42303

Nome do Software Vulnerável e Versões Afetadas Fides versões 2.75.0 até 2.83.1

Descrição Implantações que habilitam tanto a verificação de identidade do titular quanto a detecção de solicitações de privacidade duplicadas estão suscetíveis a um problema no qual um administrador pode aprovar uma solicitação de privacidade sem que a identidade tenha sido verificada. Isso ocorre quando a detecção de duplicatas classifica uma solicitação como duplicada antes da verificação; a interface administrativa então apresenta a solicitação com opções de aprovação, levando potencialmente um administrador a aprová-la durante a triagem rotineira. Um invasor não autenticado pode explorar isso enviando duas solicitações usando o e-mail de um alvo sem concluir a verificação OTP, fazendo com que a segunda solicitação seja marcada como duplicada e torne-se aprovável. Para políticas de exclusão, isso pode levar à exclusão não autorizada de registros de um titular de dados em todas as integrações configuradas. Além disso, as versões 2.82.0 a 2.83.1 contêm um problema de negação de serviço onde um invasor não autenticado pode impedir que um titular de dados legítimo conclua a verificação de identidade em uma solicitação classificada como duplicada. O problema está ativo quando tanto subject identity verification required quanto privacy request duplicate detection.enabled estão definidos como true.

Recomendações Atualize para a versão 2.83.2 ou posterior. Como alternativa temporária, desabilite a detecção de duplicatas definindo a variável privacy request duplicate detection.enabled como false. Administradores devem negar ou excluir qualquer solicitação de privacidade cuja identidade não tenha sido verificada, em vez de aprová-la.