Vulnerabilidad en Fides (CVE-2024-38537)
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
03/07/2024
Descripción
Fides es una plataforma de ingeniería de privacidad de código abierto. `fides.js`, un script del lado del cliente utilizado para interactuar con las funciones de gestión de consentimiento de Fides, utilizó el dominio `polyfill.io` en un caso límite muy limitado, cuando detectó un navegador heredado como IE11 que no admitía el estándar de recuperación. Por lo tanto, era posible que los usuarios de navegadores heredados anteriores a 2017 que navegaban a una página que servía `fides.js` descargaran y ejecutaran scripts maliciosos desde el dominio `polyfill.io` cuando el dominio estaba comprometido y servía malware. No se ha identificado ninguna explotación de `fides.js` a través de `polyfill.io` al momento de la publicación. La vulnerabilidad ha sido parcheada en la versión `2.39.1` de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. El jueves 27 de junio de 2024, Cloudflare y Namecheap intervinieron a nivel de dominio para garantizar que `polyfill.io` y sus subdominios no pudieran resolver el servicio comprometido, haciendo que esta vulnerabilidad no se pudiera explotar. Antes de la intervención a nivel de dominio, no había workarounds en el lado del servidor y los impactos de esta vulnerabilidad en la confidencialidad, integridad y disponibilidad eran altos. Los clientes podían asegurarse de no verse afectados utilizando un navegador moderno que admitiera el estándar de recuperación.
Impacto
Puntuación base 3.x
0.00
Gravedad 3.x
Pendiente de análisis