Hedera Guardian through 3.5.1 contains an authentication bypass vulnerability in the GET /api/v1/demo/registered-users endpoint that allows unauthenticated attackers to retrieve sensitive user information. Attackers can access the endpoint without providing authentication credentials to obtain usernames, Hedera DIDs, parent registry DIDs, system roles, and policy role assignments for all registered users in the system.
Hedera Guardian versions up to 3.5.1 contain an authentication bypass vulnerability in the /api/v1/demo/registered-users endpoint that allows unauthenticated attackers to retrieve sensitive user information including usernames, DIDs, and role assignments. This vulnerability exposes critical identity and access control data without requiring authentication credentials.
تسمح ثغرة تجاوز المصادقة في Hedera Guardian بالوصول غير المصرح إلى بيانات المستخدمين الحساسة بما في ذلك أسماء المستخدمين والمعرفات الرقمية وتعيينات الأدوار. يمكن للمهاجمين استغلال هذه الثغرة للحصول على معلومات هوية شاملة دون الحاجة إلى بيانات اعتماد صحيحة. هذا يشكل خطراً كبيراً على سرية البيانات والامتثال للوائح حماية البيانات.
يحتوي Hedera Guardian الإصدار 3.5.1 وما قبله على ثغرة تجاوز المصادقة في نقطة نهاية API تسمح للمهاجمين غير المصرح لهم بالوصول إلى معلومات المستخدمين الحساسة. يمكن للمهاجمين الحصول على أسماء المستخدمين والمعرفات الرقمية وتعيينات الأدوار دون توفير بيانات اعتماد المصادقة.
Update Hedera Guardian to version 3.5.2 or later immediately. Implement network-level access controls to restrict access to the /api/v1/demo/registered-users endpoint. Enable authentication requirements for all API endpoints and conduct a security audit to identify if user data has been exposed. Monitor access logs for suspicious activity.
قم بتحديث Hedera Guardian إلى الإصدار 3.5.2 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية. فعّل متطلبات المصادقة لجميع نقاط نهاية API وأجرِ تدقيقاً أمنياً شاملاً. راقب سجلات الوصول للكشف عن النشاط المريب.