PT-2020-21433 · Vp Toolkit · Vp-Toolkit
Publicado
2020-03-06
·
Atualizado
2020-03-06
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do vp-toolkit anteriores à 0.2.2
Descrição
O método
verifyVerifiableCredential() não verifica se o DID de credential.issuer corresponde ao signatário da credencial, o que afeta o verificador.Recomendações
Para versões anteriores à 0.2.2, atualize para a versão 0.2.2 para resolver o problema.
Como solução alternativa temporária, considere confiar na chave pública do emissor do campo
credential.proof.verificationMethod para determinadas credenciais, caso você confie em determinados emissores como verificador. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vp-Toolkit