CVE-2024-39912

Versões do web-auth/webauthn-lib anteriores à 4.9.0

O problema está relacionado ao método ProfileBasedRequestOptionsBuilder na biblioteca web-auth/webauthn-lib, que retorna allowedCredentials sem nenhuma credencial caso não seja encontrado nenhum nome de usuário. Isso permite que um invasor enumere nomes de usuário com base na ausência da propriedade allowedCredentials na resposta das opções de asserção. Ao saber quais nomes de usuário são válidos, os invasores podem concentrar seus esforços em um conjunto menor de alvos potenciais, aumentando a eficiência e a probabilidade de ataques bem-sucedidos.

Para versões anteriores à 4.9.0, atualize para a versão 4.9.0 para resolver o problema. Como solução alternativa temporária, considere modificar o método ProfileBasedRequestOptionsBuilder para retornar credenciais aleatórias quando nenhum nome de usuário for encontrado, conforme proposto no trecho de código fornecido. Restrinja o acesso ao método vulnerável para minimizar o risco de exploração. Evite usar a propriedade allowedCredentials na resposta das opções de asserção até que o problema seja resolvido.