CVE-2023-46124— Fides 代码问题漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2023-46124の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Server-Side Request Forgery Vulnerability in Custom Integration Upload
ソース: NVD (National Vulnerability Database)
脆弱性説明
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in runtime environments, and the enforcement of privacy regulations in code. The Fides web application allows a custom integration to be uploaded as a ZIP file containing configuration and dataset definitions in YAML format. It was discovered that specially crafted YAML dataset and config files allow a malicious user to perform arbitrary requests to internal systems and exfiltrate data outside the environment (also known as a Server-Side Request Forgery). The application does not perform proper validation to block attempts to connect to internal (including localhost) resources. The vulnerability has been patched in Fides version `2.22.1`.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
服务端请求伪造(SSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Fides 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Fides是一个开源隐私工程平台,用于管理运行时环境中数据隐私请求的实现以及代码中隐私法规的执行。 Fides 2.22.1之前版本存在安全漏洞,该漏洞源于允许将自定义集成作为ZIP文件上传,其中包含YAML格式的配置和数据集定义。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2023-46124の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2023-46124のインテリジェンス情報
请登录查看更多情报信息。
- https://github.com/ethyca/fides/releases/tag/2.22.1x_refsource_MISC
- https://github.com/ethyca/fides/security/advisories/GHSA-jq3w-9mgf-43m4x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2023-46124
Same Patch Batch · ethyca · 2023-10-24 · 3 CVEs total
| CVE-2023-46125 | 6.5 MEDIUM | Fides Information Disclosure Vulnerability in Config API Endpoint |
| CVE-2023-46126 | 3.9 LOW | Fides JavaScript Injection Vulnerability in Privacy Center URL |
IV. 関連脆弱性
同じ製品: fides
- CVE-2025-57817
Fides Webserver API is Vulnerable to OAuth Client Privilege - CVE-2025-57816
Fides Webserver API Rate Limiting Vulnerability in Proxied E - CVE-2025-57766
Fides's Admin UI User Password Change Does Not Invalidate Cu - CVE-2025-57815
Fides Lacks Brute-Force Protections on Authentication Endpoi - CVE-2024-52008
Password Policy Bypass Vulnerability in Fides Webserver
同じベンダー: ethyca
- CVE-2025-57817
Fides Webserver API is Vulnerable to OAuth Client Privilege - CVE-2025-57816
Fides Webserver API Rate Limiting Vulnerability in Proxied E - CVE-2025-57766
Fides's Admin UI User Password Change Does Not Invalidate Cu - CVE-2025-57815
Fides Lacks Brute-Force Protections on Authentication Endpoi - CVE-2024-52008
Password Policy Bypass Vulnerability in Fides Webserver
同じ弱点: CWE-918
- CVE-2026-8193
Akaunting Invoice PDF Rendering dompdf.php server-side reque - CVE-2026-44313
LinkWarden: Server-Side Request Forgery (SSRF) in Link Creat - CVE-2026-42352
pygeoapi 0.23.x: Unauthenticated SSRF via OGC API - Processe - CVE-2026-42346
Postiz: TOCTOU DNS rebinding bypasses all SSRF URL validatio - CVE-2026-42339
New API: SSRF Filter Bypass via 0.0.0.0
V. CVE-2023-46124へのコメント
まだコメントはありません