Vulnerabilidad en Fides (CVE-2023-46125)

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de solicitudes de privacidad de datos en un entorno de ejecución y la aplicación de regulaciones de privacidad en código. La API del servidor web de Fides permite a los usuarios recuperar su configuración utilizando el endpoint `GET api/v1/config`. Los datos de configuración se filtran para suprimir la información de configuración más confidencial antes de devolverla al usuario, pero incluso los datos filtrados contienen información sobre los componentes internos y la infraestructura de backend, como diversas configuraciones, direcciones y puertos de servidores y nombre de usuario de la base de datos. Esta información es útil tanto para usuarios administrativos como para atacantes, por lo que no debe revelarse a usuarios con pocos privilegios. Esta vulnerabilidad permite a los usuarios de la interfaz de usuario de administración con roles inferiores al rol de propietario, por ejemplo, el rol de espectador, recuperar la información de configuración mediante la API. La vulnerabilidad ha sido parcheada en la versión `2.22.1` de Fides.