CVE-2023-41319

Remote Code Execution in Custom Integration Upload in Fides

Severity Score

7.2

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides webserver API allows custom integrations to be uploaded as a ZIP file. This ZIP file must contain YAML files, but Fides can be configured to also accept the inclusion of custom Python code in it. The custom code is executed in a restricted, sandboxed environment, but the sandbox can be bypassed to execute any arbitrary code. The vulnerability allows the execution of arbitrary code on the target system within the context of the webserver python process owner on the webserver container, which by default is `root`, and leverage that access to attack underlying infrastructure and integrated systems. This vulnerability affects Fides versions `2.11.0` through `2.19.0`. Exploitation is limited to API clients with the `CONNECTOR_TEMPLATE_REGISTER` authorization scope. In the Fides Admin UI this scope is restricted to highly privileged users, specifically root users and users with the owner role. Exploitation is only possible if the security configuration parameter `allow_custom_connector_functions` is enabled by the user deploying the Fides webserver container, either in `fides.toml` or by setting the env var `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS=True`. By default this configuration parameter is disabled. The vulnerability has been patched in Fides version `2.19.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. Users unable to upgrade should ensure that `allow_custom_connector_functions` in `fides.toml` and the `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS` are both either unset or explicit set to `False`.

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de solicitudes de privacidad de datos en un entorno de ejecución y la aplicación de regulaciones de privacidad en código. La API del servidor web de Fides permite cargar integraciones personalizadas como un archivo ZIP. Este archivo ZIP debe contener archivos YAML, pero Fides se puede configurar para que también acepte la inclusión de código Python personalizado. El código personalizado se ejecuta en un entorno restringido y aislado, pero el entorno aislado se puede omitir para ejecutar cualquier código arbitrario. La vulnerabilidad permite la ejecución de código arbitrario en el sistema de destino dentro del contexto del propietario del proceso Python del servidor web en el contenedor del servidor web, que de forma predeterminada es "root", y aprovecha ese acceso para atacar la infraestructura subyacente y los sistemas integrados. Esta vulnerabilidad afecta a las versiones de Fides `2.11.0` hasta la `2.19.0`. La explotación está limitada a clientes API con el alcance de autorización `CONNECTOR_TEMPLATE_REGISTER`. En la interfaz de usuario de administración de Fides, este alcance está restringido a usuarios con privilegios elevados, específicamente usuarios root y usuarios con rol de propietario. La explotación solo es posible si el parámetro de configuración de seguridad `allow_custom_connector_functions` está habilitado por el usuario que implementa el contenedor del servidor web Fides, ya sea en `fides.toml` o estableciendo la variable env `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS=True`. Por defecto este parámetro de configuración está deshabilitado. La vulnerabilidad ha sido parcheada en la versión `2.19.0` de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. Los usuarios que no puedan actualizar deben asegurarse de que `allow_custom_connector_functions` en `fides.toml` y `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS` no estén configurados o estén configurados explícitamente en `False`.

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

High

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

Attack Vector

Network

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2023-08-28 CVE Reserved
2023-09-06 CVE Published
2024-08-02 CVE Updated
2024-09-12 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-94: Improper Control of Generation of Code ('Code Injection')
CWE-693: Protection Mechanism Failure

CAPEC

References (2)

URL	Tag	Source
https://github.com/ethyca/fides/security/advisories/GHSA-p6p2-qq95-vq5h	Mitigation

URL	Date	SRC

URL	Date	SRC
https://github.com/ethyca/fides/commit/5989b5fa744c8d8c340963b895a054883549358a	2023-09-13

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Ethyca Search vendor "Ethyca"		Fides Search vendor "Ethyca" for product "Fides"				>= 2.11.0 < 2.19.0 Search vendor "Ethyca" for product "Fides" and version " >= 2.11.0 < 2.19.0"		-		Affected