CVE

Vulnerabilidad en Fides (CVE-2023-46126)

Severidad:
MEDIA
Type:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/10/2023
Última modificación:
01/11/2023

Descripción

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de solicitudes de privacidad de datos en entornos de ejecución, ayudando a hacer cumplir las regulaciones de privacidad en el código. La aplicación web de Fides permite a los usuarios editar los avisos de consentimiento y privacidad, como los banners de cookies. La vulnerabilidad permite manipular un payload en la URL de la política de privacidad que activa la ejecución de JavaScript cuando el aviso de privacidad es entregado por un sitio web integrado. El alcance del dominio del JavaScript ejecutado es el del sitio web integrado. La explotación está limitada a los usuarios de la interfaz de usuario de administrador con el rol de colaborador o superior. La vulnerabilidad ha sido parcheada en la versión `2.22.1` de Fides.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.40
Severidad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ethyca:fides:*:*:*:*:*:*:*:* 2.22.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información