CVE-2024-9202

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-9202
In Eclipse Dataspace Components versions 0.1.3 to 0.9.0, the Connector component filters which datasets (= data offers) another party can see in a requested catalog, to ensure that only authorized parties are able to view restricted offers. However, there is the possibility to request a single dataset, which should be subject to the same filtering process, but currently is missing the correct filtering. This enables parties to potentially see datasets they should not have access to, thereby exposing sensitive information. Exploiting this vulnerability requires knowing the ID of a restricted dataset, but some IDs may be guessed by trying out many IDs in an automated way. Affected code: DatasetResolverImpl, L76-79 https://github.com/eclipse-edc/Connector/blob/v0.9.0/core/control-plane/control-plane-catalog/src/main/java/org/eclipse/edc/connector/controlplane/catalog/DatasetResolverImpl.java
CVSS

No CVSS.

References
Link Resource
https://github.com/eclipse-edc/Connector/pull/4490
https://github.com/eclipse-edc/Connector/pull/4491
https://gitlab.eclipse.org/security/cve-assignement/-/issues/35
Configurations

No configuration.

History

30 Sep 2024, 12:46

Type Values Removed Values Added
Summary
  • (es) En las versiones 0.1.3 a 0.9.0 de Eclipse Dataspace Components, el componente Connector filtra qué conjuntos de datos (= ofertas de datos) puede ver otra parte en un catálogo solicitado, para garantizar que solo las partes autorizadas puedan ver las ofertas restringidas. Sin embargo, existe la posibilidad de solicitar un único conjunto de datos, que debería estar sujeto al mismo proceso de filtrado, pero que actualmente no tiene el filtrado correcto. Esto permite que las partes vean potencialmente conjuntos de datos a los que no deberían tener acceso, lo que expone información confidencial. Para explotar esta vulnerabilidad es necesario conocer el ID de un conjunto de datos restringido, pero algunos ID se pueden adivinar probando muchos ID de forma automática. Código afectado: DatasetResolverImpl, L76-79 https://github.com/eclipse-edc/Connector/blob/v0.9.0/core/control-plane/control-plane-catalog/src/main/java/org/eclipse/edc/connector/controlplane/catalog/DatasetResolverImpl.java

27 Sep 2024, 10:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-09-27 10:15

Updated : 2024-09-30 12:46

NVD link : CVE-2024-9202

Mitre link : CVE-2024-9202

CVE.ORG link : CVE-2024-9202

JSON object : View

Products Affected

No product.

CWE
CWE-862

Missing Authorization