Data di pubblicazione: 8/11/2024 alle ore 16:00 PDT
Data.all è un framework di sviluppo open source pensato per aiutare i clienti a creare un mercato di dati su AWS.
Abbiamo individuato i seguenti problemi in data.all dalla versione 1.0.0 alla 2.6.0. L'8 novembre 2024, abbiamo rilasciato una correzione e consigliamo ai clienti di eseguire l'aggiornamento alla versione 2.6.1 o successiva e di garantire che qualsiasi codice derivato o di cui è stato eseguito il fork sia aggiornato per incorporare le nuove correzioni.
- CVE-2024-52311 si riferisce a un problema in cui data.all non invalida il token di autenticazione al momento della disconnessione dell'utente.
- CVE-2024-52312 si riferisce a un problema in cui gli utenti autenticati di data.all possono eseguire operazioni limitate su set di dati e ambienti.
- CVE-2024-52313 si riferisce a un problema in cui gli utenti autenticati di data.all possono ottenere autorizzazioni errate a livello oggetto.
- CVE-2024-52314 si riferisce a un problema in cui l'utente amministratore di data.all può accedere ai dati potenzialmente sensibili archiviati dai produttori tramite log.
- CVE-2024-10953 si riferisce a un problema in cui gli utenti autenticati di data.all possono eseguire operazioni di aggiornamento variabili sui record delle notifiche persistenti.
Riferimenti:
- CVE-2024-52311 GitHub Security Advisory
- CVE-2024-52312 GitHub Security Advisory
- CVE-2024-52313 GitHub Security Advisory
- CVE-2024-52314 GitHub Security Advisory
- CVE-2024-10953 GitHub Security Advisory
È possibile inviare un'e-mail all’indirizzo e-mail aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.