CVE-2023-48224 in Fidesinfo

Zusammenfassung

von VulDB • 24.06.2026

Fides ist eine Open-Source-Plattform für Privacy Engineering, die zur Verwaltung der Erfüllung von Datenschutzanfragen in einer Laufzeitumgebung sowie zur Durchsetzung von Datenschutzvorschriften im Code eingesetzt wird. Das Fides Privacy Center ermöglicht es betroffenen Personen (Data Subjects), Datenschutz- und Einwilligungsanfragen an die Nutzer der Datenverarbeitungsstelle (Data Controller) innerhalb der Fides Webanwendung zu richten. Mit Datenschutzanfragen können betroffene Personen den Zugriff auf alle personenbezogenen Daten, die von der Datenverarbeitungsstelle gespeichert sind, beantragen oder deren Löschung/Verlöschung verlangen. Eine Einwilligungsanfrage ermöglicht es Nutzern mit betroffenen Personenstatus (Data Subject), ihre Datenschutzeinstellungen hinsichtlich der Nutzung ihrer persönlichen Daten durch die Datenverarbeitungsstelle zu ändern, z. B. bezüglich der Zustimmung zur Weitergabe von Verkaufs- und Freigabedaten (Opt-in/Opt-out). Wenn `subject_identity_verification_required` im Abschnitt `[execution]` der Datei `fides.toml` oder in der Umgebungsvariable `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` auf dem Fides Webserver-Backend auf `True` gesetzt ist, wird den betroffenen Personen ein einmaliger Code (One-Time Code) an ihre E-Mail-Adresse oder Telefonnummer gesendet, abhängig von der Messaging-Konfiguration. Dieser einmalige Code muss vom Betroffenen im Privacy Center UI eingegeben werden, bevor die Datenschutz- oder Einwilligungsanfrage eingereicht wird. Es wurde festgestellt, dass die Werte für diese einmaligen Codes durch das Python-Modul `random` generiert wurden, einen kryptografisch schwachen pseudozufälligen Zahlen Generator (PRNG). Wenn ein Angreifer mehrere hundert aufeinanderfolgende einmalige Codes generiert, ermöglicht es ihm diese Schwachstelle, alle zukünftigen Werte der einmaligen Codes während der Lebensdauer des Python-Backend-Prozesses vorherzusagen. Es gibt keine Sicherheitsauswirkungen auf Datenzugriffsanfragen, da das Paket zum Herunterladen personenbezogener Daten nicht im Privacy Center selbst geteilt wird. Diese Schwachstelle ermöglicht es einem Angreifer jedoch, (i) eine verifizierte Löschungsanfrage einzureichen, was zur Löschung von Daten für den betroffenen Benutzer führt, und (ii) eine verifizierte Einwilligungsanfrage zu stellen, wodurch die Datenschutzeinstellungen eines Benutzers geändert werden. Die Schwachstelle wurde in der Fides-Version `2.24.0` behoben. Es wird empfohlen, auf diese Version oder höher zu aktualisieren, um Systeme vor dieser Bedrohung zu schützen. Für diese Schwachstelle sind keine bekannten Workarounds verfügbar.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

13.11.2023

Veröffentlichung

15.11.2023

Moderieren

akzeptiert

Eintrag

VDB-245592

CPE

bereit

EPSS

0.00992

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!