CVE-2023-48224 in Fidesinformazioni

Riassunto

di VulDB • 24/06/2026

Fides è una piattaforma open-source di ingegneria della privacy per la gestione dell'espletamento delle richieste relative alla privacy dei dati in un ambiente runtime e per l'applicazione delle normative sulla privacy nel codice. Il Fides Privacy Center consente agli utenti soggetti ai diritti (data subjects) di inviare richieste di privacy e consenso agli utenti amministratori del trattamento (data controller) della web application Fides. Le richieste di privacy consentono ai soggetti interessati di presentare una richiesta per accedere a tutti i dati personali detenuti dal titolare del trattamento o per eliminarli/cancellarli. La richiesta di consenso consente agli utenti soggetti ai diritti di modificare le proprie preferenze sulla privacy relative all'utilizzo dei propri dati personali da parte del titolare del trattamento, ad esempio l'opzione opt-in/opt-out per la vendita e la condivisione dei dati. Se `subject_identity_verification_required` nella sezione `[execution]` di `fides.toml` o la variabile d'ambiente `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` è impostata su `True` sul backend del webserver Fides, ai soggetti interessati viene inviato un codice monouso al loro indirizzo email o numero di telefono, a seconda della configurazione dei messaggi, e il codice monouso deve essere inserito nell'interfaccia utente (UI) del Privacy Center dal soggetto interessato prima che la richiesta di privacy o consenso venga inviata. È stato identificato che i valori dei codici monouso per queste richieste sono stati generati dal modulo Python `random`, un generatore di numeri pseudo-casuali (PRNG) crittograficamente debole. Se un attaccante genera diverse centinaia di codici monouso consecutivi, questa vulnerabilità consente all'attaccante di prevedere tutti i valori futuri dei codici monouso durante la durata del processo Python sul backend. Non vi è alcun impatto sulla sicurezza delle richieste di accesso ai dati poiché il pacchetto di download dei dati personali non viene condiviso nel Privacy Center stesso. Tuttavia, questa vulnerabilità consente a un attaccante di (i) inviare una richiesta verificata di cancellazione dei dati, comportando l'eliminazione dei dati per l'utente target e (ii) inviare una richiesta di consenso verificata, modificando le preferenze sulla privacy dell'utente. La vulnerabilità è stata risolta nella versione `2.24.0` di Fides. Si consiglia agli utenti di eseguire l'aggiornamento a questa versione o successive per proteggere i propri sistemi da questa minaccia. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

13/11/2023

Divulgazione

15/11/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00992

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!