PT-2020-14178 · Tough · Tough Library
Erik Maclean
·
Publicado
2020-07-09
·
Atualizado
2021-10-26
·
CVE-2020-15093
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões da biblioteca tough anteriores à 0.7.1
Descrição
O problema decorre da falha da biblioteca tough em verificar adequadamente a exclusividade das chaves nas assinaturas fornecidas, permitindo que um invasor com acesso a uma chave de assinatura válida crie várias assinaturas válidas. Isso pode ser usado para contornar a exigência de um limite mínimo de assinaturas únicas antes que os metadados sejam considerados válidos. Uma correção está disponível na versão 0.7.1.
Recomendações
Para versões anteriores à 0.7.1, atualize para a versão 0.7.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às chaves de assinatura para minimizar o risco de exploração.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tough Library