One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8358470 |
| Date de publication | 2023-07-18 19:15:09 (vue: 2023-07-18 22:06:49) |
| Titre | CVE-2023-37481 |
| Texte | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer les demandes de confidentialité des données et les réglementations de confidentialité.Le serveur Web Fides est vulnérable à un type d'attaque de déni de service (DOS).Les attaquants peuvent exploiter cette vulnérabilité pour télécharger des fichiers zip contenant des bombes SVG malveillantes (similaires à une attaque de rires de milliards de rires), provoquant l'épuisement des ressources dans les onglets de navigateur d'administration et créant un déni de service persistant de la page \\ 'nouveau connecteur \' (`` `` `` `` `` `''Datastore-Connection / New`).Cette vulnérabilité affecte les versions Fides `2.11.0` via` 2.15.1`.L'exploitation est limitée aux utilisateurs avec des privilèges élevés avec la portée `Connector_Template_Register`, qui inclut les utilisateurs root et les utilisateurs avec le rôle du propriétaire.La vulnérabilité a été corrigée dans la version Fides `2.16.0`.Il est conseillé aux utilisateurs de passer à cette version ou plus tard pour sécuriser leurs systèmes contre cette menace.Il n'y a pas de solution de contournement connu pour résoudre cette vulnérabilité sans mise à niveau.
Fides is an open-source privacy engineering platform for managing data privacy requests and privacy regulations. The Fides webserver is vulnerable to a type of Denial of Service (DoS) attack. Attackers can exploit this vulnerability to upload zip files containing malicious SVG bombs (similar to a billion laughs attack), causing resource exhaustion in Admin UI browser tabs and creating a persistent denial of service of the \'new connector\' page (`datastore-connection/new`). This vulnerability affects Fides versions `2.11.0` through `2.15.1`. Exploitation is limited to users with elevated privileges with the `CONNECTOR_TEMPLATE_REGISTER` scope, which includes root users and users with the owner role. The vulnerability has been patched in Fides version `2.16.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. There is no known workaround to remediate this vulnerability without upgrading. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 37481 `connector `datastore admin advised affects against are attack attackers been billion bombs browser can causing connection/new` connector containing creating cve data denial dos elevated engineering exhaustion exploit exploitation fides files has includes known later laughs limited malicious managing new open owner page patched persistent platform privacy privileges register` regulations remediate requests resource role root scope secure service similar source svg systems tabs template threat through type upgrade upgrading upload users version versions vulnerability vulnerable webserver which without workaround zip |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.