CVE-2024-9202

CVE-2024-9202

Título es
CVE-2024-9202

Vie, 27/09/2024 – 10:15

Tipo
CWE-862

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-9202

Descripción es
En las versiones 0.1.3 a 0.9.0 de Eclipse Dataspace Components, el componente Connector filtra qué conjuntos de datos (= ofertas de datos) puede ver otra parte en un catálogo solicitado, para garantizar que solo las partes autorizadas puedan ver las ofertas restringidas. Sin embargo, existe la posibilidad de solicitar un único conjunto de datos, que debería estar sujeto al mismo proceso de filtrado, pero que actualmente no tiene el filtrado correcto. Esto permite que las partes vean potencialmente conjuntos de datos a los que no deberían tener acceso, lo que expone información confidencial. Para explotar esta vulnerabilidad es necesario conocer el ID de un conjunto de datos restringido, pero algunos ID se pueden adivinar probando muchos ID de forma automática. Código afectado: DatasetResolverImpl, L76-79 https://github.com/eclipse-edc/Connector/blob/v0.9.0/core/control-plane/control-plane-catalog/src/main/java/org/eclipse/edc/connector/controlplane/catalog/DatasetResolverImpl.java

Descripción en
In Eclipse Dataspace Components versions 0.1.3 to 0.9.0, the Connector component filters which datasets (= data offers) another party can see in a requested catalog, to ensure that only authorized parties are able to view restricted offers.
However, there is the possibility to request a single dataset, which should be subject to the same filtering process, but currently is missing the correct filtering.

This enables parties to potentially see datasets they should not have access to, thereby exposing sensitive information. Exploiting this vulnerability requires knowing the ID of a restricted dataset, but some IDs may be guessed by trying out many IDs in an automated way.

Affected code:
DatasetResolverImpl, L76-79 https://github.com/eclipse-edc/Connector/blob/v0.9.0/core/control-plane/control-plane-catalog/src/main/java/org/eclipse/edc/connector/controlplane/catalog/DatasetResolverImpl.java

27/09/2024
27/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://github.com/eclipse-edc/Connector/pull/4490

  • https://github.com/eclipse-edc/Connector/pull/4491

  • https://gitlab.eclipse.org/security/cve-assignement/-/issues/35

    • Enviar en el boletín
    Off

    Jose Alexis Correa Valencia

    Consultor de sistemas informáticos avanzados con más de 25 años de experiencia en el sector privado. Su carrera se ha enfocado en el análisis y diseño de sistemas, la instalación y configuración de hardware y software, así como en la administración de redes para diversas empresas. Además, ha tenido el privilegio de ser capacitador en temáticas avanzadas, especializándose en el manejo de datos en línea, la seguridad de transacciones y los multimedios.

    Ver todas las entradas