Hyperledger Aries Cloud Agent Python 未检查 LDP-VC 的演示验证结果 (CVE-2024-21669)
CVE编号
CVE-2024-21669利用情况
暂无补丁情况
N/A披露时间
2024-01-11漏洞描述
Hyperledger Aries Cloud Agent Python(ACA-Py)是构建分布式身份应用程序和在非移动环境中运行的服务的基础。在使用JSON-LD和链接数据证明(LDP-VCs)验证W3C格式可验证凭证时,未将验证呈现'文档.proof'的结果计入到呈现记录的最终'verified'值('true'/'false')中。该缺陷使得使用JSON-LD和链接数据证明(LDPs)的W3C格式可验证凭证的持有者能够呈现错误构造的证明,并允许恶意验证者将此类持有者的演示保存和重播为自己的演示。此漏洞从版本0.7.0起存在,已在版本0.10.5中修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 低
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-347 | 密码学签名的验证不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论