CVE-2026-40070

Nome do Software Vulnerável e Versões Afetadas BSV Ruby SDK versões 0.3.1 até 0.8.1 BSV Ruby Wallet versões 0.1.2 até 0.3.3

Descrição O BSV Ruby SDK e o Wallet contêm uma falha na função acquire certificate, que não verifica a assinatura do certificador sobre o conteúdo do certificado. Isso afeta ambos os protocolos de aquisição 'direct' e 'issuance'. No protocolo 'direct', o chamador fornece todos os campos do certificado, incluindo a assinatura, que é então gravada no armazenamento sem verificação. No protocolo 'issuance', o cliente envia para uma URL do certificador e grava a assinatura do corpo da resposta sem verificação. Um invasor que pode alcançar qualquer uma das APIs ou controlar um endpoint de certificador pode falsificar certificados de identidade que parecem autênticos para list certificates e prove certificate. O código vulnerável reside em lib/bsv/wallet interface/wallet client.rb. O impacto downstream envolve potencial falsificação de credenciais, pois as aplicações que dependem do armazenamento de certificados do wallet como uma fonte de verdade para atributos de identidade são vulneráveis.

Recomendações Atualize para a versão 0.8.2 ou posterior do BSV Ruby SDK. Atualize para a versão 0.3.4 ou posterior do BSV Ruby Wallet.