Vulnerabilidad en Fides (CVE-2024-45052)

Fides es una plataforma de ingeniería de privacidad de código abierto. Antes de la versión 2.44.0, existía una vulnerabilidad de enumeración de nombres de usuario basada en el tiempo en la autenticación del servidor web de Fides. Esta vulnerabilidad permite a un atacante no autenticado determinar la existencia de nombres de usuario válidos analizando el tiempo que tarda el servidor en responder a las solicitudes de inicio de sesión. La discrepancia en los tiempos de respuesta entre nombres de usuario válidos e inválidos se puede aprovechar para enumerar usuarios en el sistema. Esta vulnerabilidad permite un ataque de enumeración de nombres de usuario basado en el tiempo. Un atacante puede adivinar y verificar sistemáticamente qué nombres de usuario son válidos midiendo el tiempo de respuesta del servidor a las solicitudes de autenticación. Esta información se puede utilizar para realizar otros ataques a la autenticación, como la fuerza bruta de contraseñas y el robo de credenciales. La vulnerabilidad se ha corregido en la versión 2.44.0 de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. No hay workarounds.