CVE-2024-31223

Fides is an open-source privacy engineering platform, and `SERVER_SIDE_FIDES_API_URL` is a server-side configuration environment variable used by the Fides Privacy Center to communicate with the Fides webserver backend. The value of this variable is a URL which typically includes a private IP address, private domain name, and/or port. A vulnerability present starting in version 2.19.0 and prior to version 2.39.2rc0 allows an unauthenticated attacker to make a HTTP GET request from the Privacy Center that discloses the value of this server-side URL. This could result in disclosure of server-side configuration giving an attacker information on server-side ports, private IP addresses, and/or private domain names. The vulnerability has been patched in Fides version 2.39.2rc0. No known workarounds are available.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/ethyca/fides/commit/0555080541f18a5aacff452c590ac9a1b56d7097
https://github.com/ethyca/fides/security/advisories/GHSA-53q7-4874-24qg

Configurations

No configuration.

History

05 Jul 2024, 12:55

Type	Values Removed	Values Added
Summary		(es) Fides es una plataforma de ingeniería de privacidad de código abierto y `SERVER_SIDE_FIDES_API_URL` es una variable de entorno de configuración del lado del servidor utilizada por el Centro de Privacidad de Fides para comunicarse con el servidor web de Fides. El valor de esta variable es una URL que normalmente incluye una dirección IP privada, un nombre de dominio privado y/o un puerto. Una vulnerabilidad presente a partir de la versión 2.19.0 y antes de la versión 2.39.2rc0 permite que un atacante no autenticado realice una solicitud HTTP GET desde el Centro de privacidad que revela el valor de esta URL del lado del servidor. Esto podría dar lugar a la divulgación de la configuración del lado del servidor, proporcionando al atacante información sobre los puertos del lado del servidor, direcciones IP privadas y/o nombres de dominio privados. La vulnerabilidad ha sido parcheada en la versión 2.39.2rc0 de Fides. No hay workarounds disponibles.

03 Jul 2024, 18:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-07-03 18:15

Updated : 2024-07-05 12:55

NVD link : CVE-2024-31223

Mitre link : CVE-2024-31223

CVE.ORG link : CVE-2024-31223

JSON object : View

Products Affected

No product.

CWE

CWE-497

Exposure of Sensitive System Information to an Unauthorized Control Sphere

5.3 /10