在 matrix-rust-sdk 中执行检查时,`UserIdentity::is_verified` 未检查自身用户身份的验证状态 (CVE-2024-40648)
CVE编号
CVE-2024-40648利用情况
暂无补丁情况
N/A披露时间
2024-07-19漏洞描述
matrix-rust-sdk是一个用Rust实现的Matrix客户端-服务器库。在版本0.7.2之前的matrix-sdk-crypto crate中的`UserIdentity::is_verified()`方法在进行检查时并未考虑到用户自身身份的验证状态,因此可能返回的值与其名称和文档所暗示的相反。如果该方法用于决定是否对用户的身份执行敏感操作,恶意的homeserver可能会操纵结果以使身份看起来可信。这并不是该方法的典型用法,因此降低了影响。该方法本身并未在matrix-sdk-crypto crate中使用。matrix-sdk-crypto crate的0.7.2版本包括了一个修复。建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。解决建议
"将组件 matrix-sdk-crypto 升级至 0.7.2 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/matrix-org/matrix-rust-sdk/commit/76a7052149bb8f722df12da9... | |
| https://github.com/matrix-org/matrix-rust-sdk/security/advisories/GHSA-4qg4-cvh2-crgg |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论