ethyca-fides SSRF 漏洞 (CVE-2023-46124)

漏洞类型 SSRF 发现时间 2023-10-24 漏洞等级 低危
MPS编号 MPS-4qzm-s5ug CVE编号 CVE-2023-46124 漏洞影响广度

漏洞危害

OSCS 描述
Fides是一个隐私工程平台,用于管理运行时环境中数据隐私请求的履行,以及在代码中执行隐私法规。
Fides允许以 ZIP 文件格式上传包含YAML 格式的配置文件和数据集定义。攻击者构造恶意zip文件,应用程序解析包含恶意代码的YAML文件,导致SSRF漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-4qzm-s5ug

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
ethyca-fides (-∞, 2.22.1) 升级 将组件 ethyca-fides 升级至 2.22.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-4qzm-s5ug

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-4qzm-s5ug

https://github.com/advisories/GHSA-jq3w-9mgf-43m4

(0)
上一篇 2023年10月24日 下午2:00
下一篇 2023年10月25日 下午12:00

相关推荐

  • Apache Airflow FTP Provider<3.7.0 证书验证不当风险 (CVE-2024-29733)

    漏洞类型 证书验证不恰当 发现时间 2024-04-22 漏洞等级 低危 MPS编号 MPS-qvto-mpga CVE编号 CVE-2024-29733 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能,FTP Provider 组件用于Airflow与FT…

    漏洞 2024年4月22日
    0
  • Apache Airflow Hive Provider Beeline 远程代码执行漏洞 (CVE-2023-35797)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/2 漏洞等级 高危 MPS编号 MPS-gyzv-dxst CVE编号 CVE-2023-35797 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow Hive Provider 是 Apache Airflow 与 Apache Hive 集成的插件。Beeline 是 Hive 客户端与服务器进行交互…

    2023年8月30日
    0
  • Smartbi 未授权设置 Token 回调地址获取管理员权限

    漏洞类型 未授权敏感信息泄露 发现时间 2023/8/10 漏洞等级 严重 MPS编号 MPS-exyg-uhi8 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在 Token 回调地址漏洞…

    2023年8月14日
    0
  • Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)

    漏洞类型 反序列化 发现时间 2023-12-05 漏洞等级 严重 MPS编号 MPS-ope5-i4zj CVE编号 CVE-2023-49070 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML o…

    2023年12月6日
    0
  • Apache ZooKeeper persistent watchers敏感信息泄露漏洞 (CVE-2024-23944)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重 MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。 受影响版本中,由于 addWat…

    2024年3月17日
    0