CVE-2023-47114

Ethyca Fides HTML Injection Vulnerability in HTML-Formatted DSR Packages

Severity Score

6.1

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track

*SSVC

Descriptions

Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in your runtime environment, and the enforcement of privacy regulations in your code. The Fides web application allows data subject users to request access to their personal data. If the request is approved by the data controller user operating the Fides web application, the data subject's personal data can then retrieved from connected systems and data stores before being bundled together as a data subject access request package for the data subject to download. Supported data formats for the package include json and csv, but the most commonly used format is a series of HTML files compressed in a ZIP file. Once downloaded and unzipped, the data subject user can browse the HTML files on their local machine. It was identified that there was no validation of input coming from e.g. the connected systems and data stores which is later reflected in the downloaded data. This can result in an HTML injection that can be abused e.g. for phishing attacks or malicious JavaScript code execution, but only in the context of the data subject's browser accessing a HTML page using the `file://` protocol. Exploitation is limited to rogue Admin UI users, malicious connected system / data store users, and the data subject user if tricked via social engineering into submitting malicious data themselves. This vulnerability has been patched in version 2.23.3.

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de las solicitudes de privacidad de datos en su entorno de ejecución y la aplicación de las regulaciones de privacidad en su código. La aplicación web de Fides permite a los usuarios interesados solicitar el acceso a sus datos personales. Si la solicitud es aprobada por el usuario del controlador de datos que opera la aplicación web de Fides, los datos personales del interesado se pueden recuperar de los sistemas y almacenes de datos conectados antes de agruparlos como un paquete de solicitud de acceso del interesado para que el interesado los descargue. Los formatos de datos admitidos por el paquete incluyen json y csv, pero el formato más utilizado es una serie de archivos HTML comprimidos en un archivo ZIP. Una vez descargados y descomprimidos, el usuario interesado puede explorar los archivos HTML en su máquina local. Se identificó que no hubo validación de las entradas provenientes, por ejemplo, de los sistemas conectados y los almacenes de datos, lo que luego se refleja en los datos descargados. Esto puede dar lugar a una inyección de HTML de la que se puede abusar, por ejemplo, para ataques de phishing o ejecución de código JavaScript malicioso, pero sólo en el contexto del navegador del interesado que accede a una página HTML utilizando el protocolo `file://`. La explotación se limita a usuarios no autorizados de la interfaz de usuario de administración, a usuarios maliciosos del sistema conectado/almacenamiento de datos y al usuario interesado si se le engaña mediante ingeniería social para que envíe datos maliciosos. Esta vulnerabilidad ha sido parcheada en la versión 2.23.3.

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

Required

Scope

Changed

Confidentiality

Low

Integrity

Low

Availability

None

Attack Vector

Network

Attack Complexity

Low

Privileges Required

High

User Interaction

Required

Scope

Unchanged

Confidentiality

Low

Integrity

Low

Availability

Low

* Common Vulnerability Scoring System

SSVC

Decision:Track

Exploitation

None

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2023-10-30 CVE Reserved
2023-11-08 CVE Published
2024-09-04 CVE Updated
2024-11-14 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CAPEC

References (3)

URL	Tag	Source
https://github.com/ethyca/fides/releases/tag/2.23.3	Release Notes

URL	Date	SRC

URL	Date	SRC
https://github.com/ethyca/fides/commit/50360a0e24aac858459806bb140bb1c4b71e67a1	2023-11-16

URL	Date	SRC
https://github.com/ethyca/fides/security/advisories/GHSA-3vpf-mcj7-5h38	2023-11-16

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Ethyca Search vendor "Ethyca"		Fides Search vendor "Ethyca" for product "Fides"				>= 2.15.1 < 2.23.3 Search vendor "Ethyca" for product "Fides" and version " >= 2.15.1 < 2.23.3"		-		Affected