CVE-2024-40648

Versões do matrix-sdk-crypto anteriores à 0.7.2

O método UserIdentity::is verified() no crate matrix-sdk-crypto não leva em consideração o status de verificação da própria identidade do usuário ao realizar a verificação, podendo retornar um valor contrário ao que é sugerido por seu nome e documentação. Se esse método for usado para decidir se operações confidenciais devem ser realizadas em relação à identidade de um usuário, um servidor doméstico mal-intencionado poderia manipular o resultado para fazer com que a identidade pareça confiável. No entanto, esse não é um uso típico do método, o que reduz o impacto. O método em si não é usado dentro do crate matrix-sdk-crypto.

Para versões anteriores à 0.7.2, atualize para a versão 0.7.2 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do método UserIdentity::is verified() para decidir se deve realizar operações confidenciais em relação à identidade de um usuário até que o problema seja resolvido.