CVE-2025-62375

Nome do Software Vulnerável e Versões Afetadas go-witness versões 0.8.6 e anteriores witness versões 0.9.2 e anteriores

Descrição O atestador da AWS no go-witness e no witness verifica de forma inadequada os documentos de identidade de instância EC2 da AWS. A verificação pode ser indevidamente considerada bem-sucedida quando uma assinatura não está presente ou está vazia, e quando a verificação da assinatura RSA falha. O atestador incorpora um único certificado público global legado da AWS e não leva em conta certificados mais recentes específicos de região emitidos em 2024, tornando difícil a detecção de documentos forjados sem dados de região confiáveis adicionais. Um atacante capaz de fornecer ou interceptar dados do documento de identidade da instância pode fazer com que um documento de identidade forjado seja aceito, levando a decisões de confiança incorretas baseadas na atestação.

Recomendações Atualize o go-witness para a versão 0.9.1 ou posterior. Atualize o witness para a versão 0.10.1 ou posterior. Verifique manualmente o documento de identidade, a assinatura e a chave pública incluídos com ferramentas padrão, seguindo as orientações de verificação da AWS. Desative o uso do atestador da AWS até que seja atualizado.