CVE-2025-48995

Nome do Software Vulnerável e Versões Afetadas Versões do SignXML anteriores à 4.0.4

Descrição O problema refere-se a um potencial ataque de temporização ao verificar assinaturas com a validação de certificado X509 desativada e o segredo compartilhado HMAC definido. Isso poderia permitir que usuários reconstruíssem o HMAC correto para qualquer dado ao comparar o hash fornecido pelo usuário com o HMAC correto, potencialmente vazando informações sobre o HMAC correto. A função signxml.XMLVerifier.verify é utilizada com require x509=False e hmac key definido.

Recomendações Para versões anteriores à 4.0.4, atualize para a versão 4.0.4 ou posterior para resolver o problema. Como medida paliativa temporária, considere desativar a função verify com require x509=False e hmac key definido até que uma correção esteja disponível. Restrinja o acesso à classe XMLVerifier para minimizar o risco de exploração. Evite usar o parâmetro hmac key na função verify afetada até que o problema seja resolvido.