Fredrik Meringdal

**Nome do software vulnerável e versões afetadas** Versões do svix anteriores à 1.17.0 **Descrição** O problema decorre de uma comparação incorreta entre assinaturas de comprimentos diferentes na função de verificação, permitindo que um invasor contorne a verificação de assinatura ao fornecer uma assinatura mais curta que coincida com o início da assinatura real. A função `Webhook::verify` é especificamente afetada, pois compara assinaturas apenas até o comprimento da assinatura mais curta. Para que um ataque seja bem-sucedido, o invasor precisaria saber que a vítima usa a biblioteca Rust para verificação e utiliza webhooks de um serviço que usa o Svix e, então, criar uma carga maliciosa com os identificadores corretos para enganar os destinatários. **Recomendações** Para versões anteriores à 1.17.0, atualize para a versão 1.17.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `Webhook::verify` até que um patch esteja disponível. Restrinja o acesso ao módulo `Webhook` para minimizar o risco de exploração. Evite usar a função `verify` no endpoint da API afetado até que o problema seja resolvido.