Vulnerabilidad en DataHub (CVE-2023-47628)

DataHub es una plataforma de metadatos de código abierto. Las sesiones de DataHub Frontend se configuran utilizando la configuración predeterminada de Play Framework para sesiones sin estado que no establecen un tiempo de vencimiento para una cookie. Debido a esto, si alguna vez se filtrara una cookie de sesión, sería válida para siempre. DataHub utiliza una cookie de sesión sin estado que no se invalida al cerrar sesión, simplemente se elimina del navegador y obliga al usuario a iniciar sesión nuevamente. Sin embargo, si un atacante extrae una cookie de un usuario autenticado, seguirá siendo válida ya que no hay validación en una ventana de tiempo para la cual el token de sesión es válido debido a una combinación del uso de LegacyCookiesModule de Play Framework y el uso de configuraciones predeterminadas que no establezca un tiempo de vencimiento. Todas las instancias de DataHub anteriores al parche que eliminaron al usuario de DataHub, pero no las políticas predeterminadas que se aplican a ese usuario, se ven afectadas. Se recomienda a los usuarios que actualicen a la versión 0.12.1, que soluciona el problema. No se conocen workarounds para esta vulnerabilidad.