Data.allは、AWS上でデータマーケットプレイスを構築するためのオープンソース開発フレームワークです。このフレームワークでは、バージョン1.0.0から2.6.0までのいくつかの問題が特定されました。2024年11月8日に修正がリリースされ、顧客はバージョン2.6.1以降にアップグレードすることをお勧めします。これらの問題は、セキュリティ脆弱性に関連しており、ユーザーのログアウト時に認証トークンの無効化を伴うCVE-2024-52311が含まれます。CVE-2024-52312により、認証されたユーザーはDataSetsとEnvironmentsに対して制限された操作を実行できます。CVE-2024-52313には、認証されたユーザーに対するオブジェクトレベルの認可が不正です。CVE-2024-52314により、管理者ユーザーは、プロデューサーが保存した機密データにログを介してアクセスできます。さらに、CVE-2024-10953により、認証されたユーザーは、永続化された通知レコードに対してミューテート更新操作を実行できます。これらの問題に関するセキュリティアドバイザリは、GitHubで見つけることができます。セキュリティに関する質問や懸念がある場合は、[email protected]にメールを送信してください。