CVE-2023-48224 in Fidesالمعلومات

الملخص

بحسب VulDB • 01/07/2026

Fides هو منصة هندسة الخصوصية مفتوحة المصدر لإدارة تنفيذ طلبات خصوصية البيانات في بيئة التشغيل، وإنفاذ لوائح الخصوصية في الكود البرمجي. يسمح مركز خصوصية Fides لمستخدمي أصحاب البيانات (data subjects) بتقديم طلبات الخصوصية والموافقة إلى مستخدمي متحكمي البيانات من تطبيق الويب الخاص بـ Fides. تتيح طلبات الخصوصية لأصحاب البيانات تقديم طلب للوصول إلى جميع بيانات الشخص التي يحتفظ بها متحكم البيانات، أو حذفها/إزالتها. تسمح طلبات الموافقة لمستخدمي أصحاب البيانات بتعديل تفضيلاتهم المتعلقة بالخصوصية بشأن كيفية استخدام متحكم البيانات لبياناتهم الشخصية، مثل اختيار الانضمام أو الخروج من موافقات بيع ومشاركة البيانات. إذا كان الخيار `subject_identity_verification_required` في قسم `[execution]` من ملف `fides.toml` أو المتغير البيئي `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` مضبوطًا على `True` في الخادم الخلفي لتطبيق ويب Fides، فإن أصحاب البيانات يتلقون رمزًا لمرة واحدة إلى عنوان بريدهم الإلكتروني أو رقم هاتفهم، اعتمادًا على إعدادات المراسلة، ويجب إدخال الرمز الذي يُستخدم مرة واحدة فقط في واجهة مركز الخصوصية (Privacy Center UI) من قبل صاحب البيانات قبل تقديم طلب الخصوصية أو الموافقة. تم تحديد أن قيم الرموز التي تُستخدم مرة واحدة لهذه الطلبات كانت يتم إنشاؤها بواسطة وحدة `random` في لغة Python، وهي مولد أرقام شبه عشوائي ضعيف تشويهيًا (PNRG). إذا قام مهاجم بتوليد مئات من رموز الاستخدام الواحد المتتالية، فإن هذا الثغرة تتيح للمهاجم التنبؤ بجميع قيم الرموز المستقبلية التي تُستخدم مرة واحدة خلال عمر عملية بايثون الخلفية. لا يوجد تأثير أمني على طلبات الوصول إلى البيانات حيث أن حزمة تنزيل البيانات الشخصية ليست مشتركة في مركز الخصوصية نفسه. ومع ذلك، تسمح هذه الثغرة لمهاجم بـ (i) تقديم طلب حذف بيانات موثق، مما يؤدي إلى حذف البيانات للمستخدم المستهدف و(ii) تقديم طلب موافقة موثق، مما يعدل تفضيلات خصوصية المستخدم. تم إصلاح الثغرة في إصدار Fides `2.24.0`. يُنصح المستخدمين بالترقية إلى هذا الإصدار أو أحدث لتأمين أنظمتهم ضد هذا التهديد. لا توجد حلول بديلة معروفة لهذه الثغرة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

13/11/2023

إفشاء

15/11/2023

الاعتدال

تمت الموافقة

إدخال

VDB-245592

EPSS

0.00992

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!