CVE-2024-51997

Versões do Trustee 0.8.0 a 0.8.1

O problema diz respeito ao token Attestation Results Token (ART), que pode ser manipulado por um invasor do tipo Man-In-The-Middle (MITM). O jwk na carga útil do token ART pode ser substituído pela chave pública do próprio invasor, permitindo que ele assine o token ART falsificado com sua chave privada correspondente. Essa substituição e modificação não podem ser detectadas com base na implementação atual do código.

Para as versões 0.8.0 a 0.8.1 do Trustee, atualize para a versão 0.8.2 para resolver o problema.

No momento, não há informações sobre outras soluções alternativas para este problema.