Fides Webserver 日志中的部分密码泄露漏洞 (CVE-2024-34715)
CVE编号
CVE-2024-34715利用情况
暂无补丁情况
N/A披露时间
2024-05-30漏洞描述
Fides是一个开源的隐私工程平台。Fides web服务器需要连接到托管的PostgreSQL数据库以持久存储应用程序数据。如果web服务器用于数据库连接的密码包含特殊字符,如`@`和`$`,则web服务器启动将失败,并且特殊字符后的部分密码将暴露在web服务器错误日志中。这是由于SQLAlchemy密码字符串的不正确转义所导致的。结果用户在web服务器日志中部分暴露托管数据库密码。此漏洞已在Fides版本`2.37.0`中修补。建议用户升级到此版本或更高版本以保护其系统免受此威胁。对于此漏洞,目前没有已知的解决方法。解决建议
"将组件 ethyca-fides 升级至 2.37.0 及以上版本"- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 高
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论