CVE-2024-38537

Fides is an open-source privacy engineering platform. `fides.js`, a client-side script used to interact with the consent management features of Fides, used the `polyfill.io` domain in a very limited edge case, when it detected a legacy browser such as IE11 that did not support the fetch standard. Therefore it was possible for users of legacy, pre-2017 browsers who navigate to a page serving `fides.js` to download and execute malicious scripts from the `polyfill.io` domain when the domain was compromised and serving malware. No exploitation of `fides.js` via `polyfill.io` has been identified as of time of publication. The vulnerability has been patched in Fides version `2.39.1`. Users are advised to upgrade to this version or later to secure their systems against this threat. On Thursday, June 27, 2024, Cloudflare and Namecheap intervened at a domain level to ensure `polyfill.io` and its subdomains could not resolve to the compromised service, rendering this vulnerability unexploitable. Prior to the domain level intervention, there were no server-side workarounds and the confidentiality, integrity, and availability impacts of this vulnerability were high. Clients could ensure they were not affected by using a modern browser that supported the fetch standard.
CVSS

No CVSS.

Configurations

No configuration.

History

21 Nov 2024, 09:26

Type Values Removed Values Added
References () https://fetch.spec.whatwg.org - () https://fetch.spec.whatwg.org -
References () https://github.com/ethyca/fides/commit/868c4d629760572192bd61db34f5a4458ed12005 - () https://github.com/ethyca/fides/commit/868c4d629760572192bd61db34f5a4458ed12005 -
References () https://github.com/ethyca/fides/pull/5026 - () https://github.com/ethyca/fides/pull/5026 -
References () https://github.com/ethyca/fides/security/advisories/GHSA-cvw4-c69g-7v7m - () https://github.com/ethyca/fides/security/advisories/GHSA-cvw4-c69g-7v7m -
References () https://sansec.io/research/polyfill-supply-chain-attack - () https://sansec.io/research/polyfill-supply-chain-attack -

03 Jul 2024, 12:53

Type Values Removed Values Added
Summary
  • (es) Fides es una plataforma de ingeniería de privacidad de código abierto. `fides.js`, un script del lado del cliente utilizado para interactuar con las funciones de gestión de consentimiento de Fides, utilizó el dominio `polyfill.io` en un caso límite muy limitado, cuando detectó un navegador heredado como IE11 que no admitía el estándar de recuperación. Por lo tanto, era posible que los usuarios de navegadores heredados anteriores a 2017 que navegaban a una página que servía `fides.js` descargaran y ejecutaran scripts maliciosos desde el dominio `polyfill.io` cuando el dominio estaba comprometido y servía malware. No se ha identificado ninguna explotación de `fides.js` a través de `polyfill.io` al momento de la publicación. La vulnerabilidad ha sido parcheada en la versión `2.39.1` de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. El jueves 27 de junio de 2024, Cloudflare y Namecheap intervinieron a nivel de dominio para garantizar que `polyfill.io` y sus subdominios no pudieran resolver el servicio comprometido, haciendo que esta vulnerabilidad no se pudiera explotar. Antes de la intervención a nivel de dominio, no había workarounds en el lado del servidor y los impactos de esta vulnerabilidad en la confidencialidad, integridad y disponibilidad eran altos. Los clientes podían asegurarse de no verse afectados utilizando un navegador moderno que admitiera el estándar de recuperación.

02 Jul 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-07-02 20:15

Updated : 2024-11-21 09:26


NVD link : CVE-2024-38537

Mitre link : CVE-2024-38537

CVE.ORG link : CVE-2024-38537


JSON object : View

Products Affected

No product.

CWE
CWE-829

Inclusion of Functionality from Untrusted Control Sphere