CVE-2024-49755

Nome do software vulnerável e versões afetadas:

Duende IdentityServer, versões 7.0.0 a 7.0.7

Descrição:

O manipulador de autenticação da API local no Duende IdentityServer realiza uma validação insuficiente da reivindicação cnf nos tokens de acesso DPoP. Isso permite que um invasor utilize tokens de acesso DPoP vazados em pontos de extremidade da API local, mesmo sem possuir a chave privada para assinar tokens de prova. O problema afeta apenas pontos de extremidade personalizados dentro de uma implementação do IdentityServer que tenham usado explicitamente o LocalApiAuthenticationHandler para autenticação.

Recomendações:

Para as versões 7.0.0 a 7.0.7 do Duende IdentityServer, atualize para a versão 7.0.8 para resolver o problema.

Como solução temporária, considere desativar o uso do DPoP para APIs locais configurando a opção TokenMode como LocalApiTokenMode.BearerOnly, até que um patch seja aplicado.

Restrinja o acesso a endpoints personalizados que utilizam o LocalApiAuthenticationHandler para minimizar o risco de exploração.