PT-2020-21272 · Unknown · Crypt-Util+1
Publicado
2020-03-06
·
Atualizado
2020-03-06
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do vp-toolkit anteriores à 0.2.2
Descrição
O método
verifyVerifiablePresentation() não verifica se o DID credentialSubject.id corresponde ao signatário da prova VP, o que afeta o verificador.Recomendações
Para versões anteriores à 0.2.2, como solução temporária, considere calcular o endereço a partir de
verifiablePresentation.proof.n.verificationMethod usando getAddressFromPubKey() de crypt-util@0.1.5 e comparando-o com o endereço credentialSubject.id da credencial.Atualize para a versão 0.2.2 para resolver o problema.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Crypt-Util
Vp-Toolkit