// For flags

CVE-2023-48224

Cryptographically Weak Generation of One-Time Codes for Identity Verification in ethyca-fides

Severity Score

9.1
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

0
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

Attend
*SSVC
Descriptions

Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides Privacy Center allows data subject users to submit privacy and consent requests to data controller users of the Fides web application. Privacy requests allow data subjects to submit a request to access all person data held by the data controller, or delete/erase it. Consent request allows data subject users to modify their privacy preferences for how the data controller uses their personal data e.g. data sales and sharing consent opt-in/opt-out. If `subject_identity_verification_required` in the `[execution]` section of `fides.toml` or the env var `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` is set to `True` on the fides webserver backend, data subjects are sent a one-time code to their email address or phone number, depending on messaging configuration, and the one-time code must be entered in the Privacy Center UI by the data subject before the privacy or consent request is submitted. It was identified that the one-time code values for these requests were generated by the python `random` module, a cryptographically weak pseduo-random number generator (PNRG). If an attacker generates several hundred consecutive one-time codes, this vulnerability allows the attacker to predict all future one-time code values during the lifetime of the backend python process. There is no security impact on data access requests as the personal data download package is not shared in the Privacy Center itself. However, this vulnerability allows an attacker to (i) submit a verified data erasure request, resulting in deletion of data for the targeted user and (ii) submit a verified consent request, modifying a user's privacy preferences. The vulnerability has been patched in Fides version `2.24.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. There are no known workarounds for this vulnerability.

Fides es una plataforma de ingeniería de privacidad de código abierto para gestionar el cumplimiento de solicitudes de privacidad de datos en un entorno de ejecución y la aplicación de regulaciones de privacidad en código. El Privacy Center de Fides permite a los usuarios interesados enviar solicitudes de privacidad y consentimiento a los usuarios responsables del tratamiento de datos de la aplicación web de Fides. Las solicitudes de privacidad permiten a los interesados presentar una solicitud para acceder a todos los datos personales en poder del controlador de datos, o eliminarlos o borrarlos. La solicitud de consentimiento permite a los usuarios interesados modificar sus preferencias de privacidad sobre cómo el controlador de datos utiliza sus datos personales, p. Venta de datos y consentimiento para compartir y optar por no participar. Si `subject_identity_verification_required` en la sección `[ejecución]` de `fides.toml` o la var env `FIDES__EXECUTION__SUBJECT_IDENTITY_VERIFICATION_REQUIRED` está configurada en `True` en el backend del servidor web de Fides, los interesados reciben un código de un solo uso a su dirección de correo electrónico o el número de teléfono, según la configuración de mensajería, y el código de un solo uso deben ser ingresados en Privacy Center UI, por el interesado antes de enviar la solicitud de privacidad o consentimiento. Se identificó que los valores de código de un solo uso para estas solicitudes fueron generadas por el módulo "aleatorio" de Python, un generador de números pseudoaleatorios (PNRG) criptográficamente débil. Si un atacante genera varios cientos de códigos únicos consecutivos, esta vulnerabilidad le permite predecir todos los valores futuros de códigos únicos durante la vida útil del proceso backend de Python. No hay ningún impacto en la seguridad en las solicitudes de acceso a datos ya que el paquete de descarga de datos personales no se comparte en el Privacy Center en sí. Sin embargo, esta vulnerabilidad permite a un atacante (i) enviar una solicitud de borrado de datos verificada, lo que resulta en la eliminación de datos para el usuario objetivo y (ii) enviar una solicitud de consentimiento verificada, modificando las preferencias de privacidad de un usuario. La vulnerabilidad ha sido parcheada en la versión `2.24.0` de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. No se conocen workarounds para esta vulnerabilidad.

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
Low
Privileges Required
None
User Interaction
None
Scope
Unchanged
Confidentiality
None
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Low
Privileges Required
None
User Interaction
None
Scope
Unchanged
Confidentiality
None
Integrity
Low
Availability
High
* Common Vulnerability Scoring System
SSVC
  • Decision:Attend
Exploitation
None
Automatable
Yes
Tech. Impact
Partial
* Organization's Worst-case Scenario
Timeline
  • 2023-11-13 CVE Reserved
  • 2023-11-15 CVE Published
  • 2024-08-29 CVE Updated
  • 2024-11-21 EPSS Updated
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
  • ---------- First Exploit
CWE
  • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
CAPEC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Ethyca
Search vendor "Ethyca"
Fides
Search vendor "Ethyca" for product "Fides"
< 2.24.0
Search vendor "Ethyca" for product "Fides" and version " < 2.24.0"
-
Affected