Vulnerabilidad en Fides (CVE-2023-48224)

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de solicitudes de privacidad de datos en un entorno de ejecución y la aplicación de regulaciones de privacidad en código. El Privacy Center de Fides permite a los usuarios interesados enviar solicitudes de privacidad y consentimiento a los usuarios responsables del tratamiento de datos de la aplicación web de Fides. Las solicitudes de privacidad permiten a los interesados presentar una solicitud para acceder a todos los datos personales en poder del controlador de datos, o eliminarlos o borrarlos. La solicitud de consentimiento permite a los usuarios interesados modificar sus preferencias de privacidad sobre cómo el controlador de datos utiliza sus datos personales, p. Venta de datos y consentimiento para compartir y optar por no participar. Si `subject_identity_verification_required` en la sección `[ejecución]` de `fides.toml` o la var env `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` está configurada en `True` en el backend del servidor web de Fides, los interesados reciben un código de un solo uso a su dirección de correo electrónico o el número de teléfono, según la configuración de mensajería, y el código de un solo uso deben ser ingresados en Privacy Center UI, por el interesado antes de enviar la solicitud de privacidad o consentimiento. Se identificó que los valores de código de un solo uso para estas solicitudes fueron generadas por el módulo "aleatorio" de Python, un generador de números pseudoaleatorios (PNRG) criptográficamente débil. Si un atacante genera varios cientos de códigos únicos consecutivos, esta vulnerabilidad le permite predecir todos los valores futuros de códigos únicos durante la vida útil del proceso backend de Python. No hay ningún impacto en la seguridad en las solicitudes de acceso a datos ya que el paquete de descarga de datos personales no se comparte en el Privacy Center en sí. Sin embargo, esta vulnerabilidad permite a un atacante (i) enviar una solicitud de borrado de datos verificada, lo que resulta en la eliminación de datos para el usuario objetivo y (ii) enviar una solicitud de consentimiento verificada, modificando las preferencias de privacidad de un usuario. La vulnerabilidad ha sido parcheada en la versión `2.24.0` de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. No se conocen workarounds para esta vulnerabilidad.