CVE-2024-21491

Versões do svix anteriores à 1.17.0

O problema decorre de uma comparação incorreta entre assinaturas de comprimentos diferentes na função de verificação, permitindo que um invasor contorne a verificação de assinatura ao fornecer uma assinatura mais curta que coincida com o início da assinatura real. A função Webhook::verify é especificamente afetada, pois compara assinaturas apenas até o comprimento da assinatura mais curta. Para que um ataque seja bem-sucedido, o invasor precisaria saber que a vítima usa a biblioteca Rust para verificação e utiliza webhooks de um serviço que usa o Svix e, então, criar uma carga maliciosa com os identificadores corretos para enganar os destinatários.

Para versões anteriores à 1.17.0, atualize para a versão 1.17.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função Webhook::verify até que um patch esteja disponível. Restrinja o acesso ao módulo Webhook para minimizar o risco de exploração. Evite usar a função verify no endpoint da API afetado até que o problema seja resolvido.