PT-2024-33265 · Unknown · Agent Dart
Eduarddfinity
·
Publicado
2024-10-15
·
Atualizado
2024-10-16
·
CVE-2024-48915
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Agent Dart anteriores à 1.0.0-dev.29
Descrição
O problema está relacionado à verificação inadequada de certificados no arquivo
lib/agent/certificate.dart. Especificamente, durante a verificação de delegação na função checkDelegation, os canister ranges não são verificados, permitindo que uma sub-rede assine respostas do canister em nome de outra sub-rede. Além disso, o carimbo de data/hora do certificado, ou seja, o caminho /time, não é verificado, efetivamente deixando o certificado sem prazo de validade.Recomendações
Para versões anteriores à 1.0.0-dev.29, atualize para a versão 1.0.0-dev.29 para corrigir o problema de verificação de certificado. Como solução alternativa temporária, considere restringir o uso da função
checkDelegation no arquivo lib/agent/certificate.dart até que a atualização seja aplicada. Evite usar a variável canister ranges nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
Improper Verification of Cryptographic Signature
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Agent Dart