漏洞标题
自定义集成上传中的服务端请求伪造漏洞
漏洞描述信息
## 概述
Fides是一款开源的隐私工程平台,用于管理和处理运行时环境中的数据隐私请求,并在代码中实施隐私法规。该平台的Web应用允许用户上传包含YAML格式配置和数据集定义的ZIP文件。存在一个漏洞,恶意用户可以通过特制的YAML数据集和配置文件对内部系统发起任意请求并窃取数据(SSRF攻击)。
## 影响版本
- Fides版本 `2.22.1`之前
## 细节
该漏洞源自于Fides应用不对上传的ZIP文件中的YAML配置文件进行充分的验证,允许恶意用户发起任意请求来访问内部资源(包括localhost),从而窃取数据。
## 影响
此漏洞可能导致内部系统的数据泄露,攻击者可以利用该漏洞访问内部资源并发送请求至外部环境,构成服务器端请求伪造(SSRF)攻击。已在Fides `2.22.1`版本中修复该漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Server-Side Request Forgery Vulnerability in Custom Integration Upload
漏洞描述信息
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in runtime environments, and the enforcement of privacy regulations in code. The Fides web application allows a custom integration to be uploaded as a ZIP file containing configuration and dataset definitions in YAML format. It was discovered that specially crafted YAML dataset and config files allow a malicious user to perform arbitrary requests to internal systems and exfiltrate data outside the environment (also known as a Server-Side Request Forgery). The application does not perform proper validation to block attempts to connect to internal (including localhost) resources. The vulnerability has been patched in Fides version `2.22.1`.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Fides 代码问题漏洞
漏洞描述信息
Fides是一个开源隐私工程平台,用于管理运行时环境中数据隐私请求的实现以及代码中隐私法规的执行。 Fides 2.22.1之前版本存在安全漏洞,该漏洞源于允许将自定义集成作为ZIP文件上传,其中包含YAML格式的配置和数据集定义。
CVSS信息
N/A
漏洞类别
代码问题