Bernard Duggan

**Nome do Software Vulnerável e Versões Afetadas** ex aws sns versões 2.0.1 a 2.3.4 **Description** A validação inadequada de certificados nos módulos `ExAws.SNS` e `ExAws.SNS.PublicKeyCache` permite a falsificação de assinatura. A função `verify message()` busca o certificado de assinatura no campo `SigningCertURL` de uma mensagem SNS recebida sem validar se a URL utiliza HTTPS ou se o host pertence a um domínio de certificado SNS de propriedade da AWS. Um invasor não autenticado pode fornecer um `SigningCertURL` controlado e assinar uma mensagem SNS forjada com sua própria chave, fazendo com que a função retorne `:ok` e ignore a verificação de assinatura. Isso ocorre quando a aplicação expõe um endpoint HTTP que chama a função `verify message()` em corpos de requisições recebidas. **Recommendations** Atualize o ex aws sns para a versão 2.3.5.