PT-2020-12548 · Hyperledger · Hyperledger Indy Node
Alexandredeleze
·
Publicado
2020-12-24
·
Atualizado
2024-08-30
·
CVE-2020-11093
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Hyperledger Indy Node anteriores à 1.12.4
Descrição
O problema está relacionado à falta de verificação de assinatura em uma transação específica, permitindo que um invasor faça alterações não autorizadas no livro-razão. Um DID malicioso sem função específica pode solicitar uma atualização para outro DID, mas não pode modificar sua chave de verificação (verkey) ou função. Isso permite que qualquer DID grave uma transação nym no livro-razão, altere o alias de qualquer outro DID e modifique os metadados do livro-razão associados a um DID.
Recomendações
Para resolver o problema, atualize para a versão 1.12.4 ou posterior do Hyperledger Indy Node. Como solução temporária, considere restringir o acesso ao manipulador de transações
nym para minimizar o risco de exploração. Além disso, restrinja a capacidade dos DIDs de atualizar os aliases e metadados de outros DIDs até que o problema seja resolvido.Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hyperledger Indy Node