CVE-2024-45053

Fides is an open-source privacy engineering platform. Starting in version 2.19.0 and prior to version 2.44.0, the Email Templating feature uses Jinja2 without proper input sanitization or rendering environment restrictions, allowing for Server-Side Template Injection that grants Remote Code Execution to privileged users. A privileged user refers to an Admin UI user with the default `Owner` or `Contributor` role, who can escalate their access and execute code on the underlying Fides Webserver container where the Jinja template rendering function is executed. The vulnerability has been patched in Fides version `2.44.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. There are no workarounds.
Configurations

Configuration 1 (hide)

cpe:2.3:a:ethyca:fides:*:*:*:*:*:*:*:*

History

06 Sep 2024, 18:20

Type Values Removed Values Added
CPE cpe:2.3:a:ethyca:fides:*:*:*:*:*:*:*:*
References () https://github.com/ethyca/fides/commit/829cbd9cb5ef9c814fbac1ed6800e8d939d359c5 - () https://github.com/ethyca/fides/commit/829cbd9cb5ef9c814fbac1ed6800e8d939d359c5 - Patch
References () https://github.com/ethyca/fides/security/advisories/GHSA-c34r-238x-f7qx - () https://github.com/ethyca/fides/security/advisories/GHSA-c34r-238x-f7qx - Exploit, Vendor Advisory
CVSS v2 : unknown
v3 : 9.1
v2 : unknown
v3 : 7.2
First Time Ethyca fides
Ethyca
CWE CWE-94

05 Sep 2024, 12:53

Type Values Removed Values Added
Summary
  • (es) Fides es una plataforma de ingeniería de privacidad de código abierto. A partir de la versión 2.19.0 y antes de la versión 2.44.0, la función de creación de plantillas de correo electrónico utiliza Jinja2 sin la desinfección de entrada adecuada ni restricciones del entorno de renderizado, lo que permite la inyección de plantillas del lado del servidor que otorga la ejecución remota de código a usuarios privilegiados. Un usuario privilegiado se refiere a un usuario de la interfaz de usuario de administración con el rol predeterminado de "Propietario" o "Colaborador", que puede escalar su acceso y ejecutar código en el contenedor del servidor web de Fides subyacente donde se ejecuta la función de renderizado de plantillas de Jinja. La vulnerabilidad se ha corregido en la versión "2.44.0" de Fides. Se recomienda a los usuarios que actualicen a esta versión o una posterior para proteger sus sistemas contra esta amenaza. No hay workarounds.

04 Sep 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-04 16:15

Updated : 2024-09-06 18:20


NVD link : CVE-2024-45053

Mitre link : CVE-2024-45053

CVE.ORG link : CVE-2024-45053


JSON object : View

Products Affected

ethyca

  • fides
CWE
CWE-94

Improper Control of Generation of Code ('Code Injection')

CWE-1336

Improper Neutralization of Special Elements Used in a Template Engine