PT-2021-19897 · Unknown · Js-Stellar-Sdk
Leighmcculloch
·
Publicado
2021-07-02
·
Atualizado
2022-07-02
·
CVE-2021-32738
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do js-stellar-sdk anteriores à 8.2.3
Descrição
A função
Utils.readChallengeTx no js-stellar-sdk não verifica se o servidor assinou a transação, apesar de sua documentação indicar que o faz. Este problema afeta aplicativos que utilizam Utils.readChallengeTx sem também utilizar Utils.verifyChallengeTxThreshold ou Utils.verifyChallengeTxSigners, que verificam a assinatura do servidor. A função é utilizada na SEP-10 Stellar Web Authentication para ler e validar transações de desafio.Recomendações
Para versões do js-stellar-sdk anteriores à 8.2.3, atualize para a versão 8.2.3 para garantir que a transação de desafio seja totalmente válida e assinada pelo servidor que a criou. Como solução alternativa temporária, considere usar
Utils.verifyChallengeTxThreshold ou Utils.verifyChallengeTxSigners para verificar as assinaturas, incluindo a assinatura do servidor, na transação de desafio.Correção
Improper Authentication
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Js-Stellar-Sdk