CVE-2026-47074

Nome do Software Vulnerável e Versões Afetadas ex aws sns versões 2.0.1 a 2.3.4

Description A validação inadequada de certificados nos módulos ExAws.SNS e ExAws.SNS.PublicKeyCache permite a falsificação de assinatura. A função verify message() busca o certificado de assinatura no campo SigningCertURL de uma mensagem SNS recebida sem validar se a URL utiliza HTTPS ou se o host pertence a um domínio de certificado SNS de propriedade da AWS. Um invasor não autenticado pode fornecer um SigningCertURL controlado e assinar uma mensagem SNS forjada com sua própria chave, fazendo com que a função retorne :ok e ignore a verificação de assinatura. Isso ocorre quando a aplicação expõe um endpoint HTTP que chama a função verify message() em corpos de requisições recebidas.

Recommendations Atualize o ex aws sns para a versão 2.3.5.