CVE-2025-24903

Nome do Software Vulnerável e Versões Afetadas: Versões do libsignal-service-rs anteriores ao commit 82d70f6720e762898f34ae76b0894b0297d9b2f8

Descrição: O problema permite que qualquer contato forje uma mensagem de sincronização, personificando outro dispositivo do usuário local, pois a origem das mensagens de sincronização não é verificada. A struct Metadata contém um campo adicional was encrypted, o que quebra a API, mas deve ser facilmente resolvível. Não há soluções alternativas conhecidas disponíveis.

Recomendações: Para versões anteriores ao commit 82d70f6720e762898f34ae76b0894b0297d9b2f8, atualize para uma versão posterior ao commit 82d70f6720e762898f34ae76b0894b0297d9b2f8 para resolver o problema. Como solução alternativa temporária, considere implementar validação adicional para a origem das mensagens de sincronização até que uma versão corrigida esteja disponível. Restrinja o acesso a funcionalidades sensíveis que dependem da struct Metadata até que o problema de compatibilidade da API seja resolvido.