PT-2024-35461 · Unknown · Matrix-Sdk-Crypto
Kasak
·
Publicado
2024-01-07
·
Atualizado
2025-02-04
·
CVE-2024-52813
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do matrix-sdk-crypto anteriores à 0.8.0
Descrição
O problema diz respeito à falta de um mecanismo dedicado para notificar quando a identidade criptográfica de um usuário muda de verificada para não verificada, o que pode fazer com que os aplicativos clientes ignorem tais alterações. Isso pode levar a problemas de segurança se não for devidamente resolvido. A variante da enumeração
VerificationLevel::VerificationViolation, introduzida na versão 0.8.0, indica que uma identidade previamente verificada foi alterada.Recomendações
Para versões anteriores à 0.8.0, atualize para a versão 0.8.0 ou posterior para incluir a nova variante da enumeração
VerificationLevel::VerificationViolation, que fornece o mecanismo de notificação necessário para alterações na identidade criptográfica de um usuário.Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Matrix-Sdk-Crypto