Fecha de publicación: 8/11/2024 16:00 h PDT
Data.all es un marco de desarrollo de código abierto que ayuda a los clientes a crear un marketplace de datos en AWS.
Hemos identificado los siguientes problemas en las versiones 1.0.0 a 2.6.0 de data.all. El 8 de noviembre de 2024, publicamos una corrección y recomendamos a los clientes que actualicen a la versión 2.6.1 o posterior y que se aseguren de que cualquier código derivado o con bifurcación esté parcheado para incorporar las nuevas correcciones.
- CVE-2024-52311 se refiere a un problema por el que data.all no invalida el token de autenticación cuando se cierra la sesión del usuario.
- CVE-2024-52312 se refiere a un problema en el que los usuarios autenticados de data.all pueden realizar operaciones restringidas contra conjuntos de datos y entornos.
- CVE-2024-52313 se refiere a un problema por el que los usuarios autenticados de data.all pueden obtener autorizaciones incorrectas a nivel de objeto.
- CVE-2024-52314 se refiere a un problema en el que el usuario administrador de data.all puede acceder a datos potencialmente confidenciales almacenados por los productores a través de registros.
- CVE-2024-10953 se refiere a un problema en el que los usuarios autenticados de data.all pueden realizar operaciones de actualización mutantes en registros de notificaciones persistentes.
Referencias:
- Aviso de seguridad de GitHub CVE-2024-52311
- Aviso de seguridad de GitHub CVE-2024-52312
- Aviso de seguridad de GitHub CVE-2024-52313
- Aviso de seguridad de GitHub CVE-2024-52314
- Aviso de seguridad de GitHub CVE-2024-10953
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.