CVE-2024-41949

biscuit-rust (versões afetadas não especificadas)

A vulnerabilidade diz respeito ao biscuit-rust, a implementação em Rust do Biscuit, um token de autenticação e autorização para arquiteturas de microsserviços. Uma solicitação de bloco de terceiros falsificada por um usuário mal-intencionado pode induzir a autoridade terceirizada a gerar um datalog confiando no par de chaves errado. Isso ocorre porque blocos de terceiros podem ser gerados sem transferir o token inteiro para a autoridade de terceiros, usando uma solicitação ThirdPartyBlock que inclui a chave pública do bloco anterior e as chaves públicas que fazem parte da tabela de símbolos do token.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.