Vulnerabilidad en svix (CVE-2024-21491)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/02/2024
Última modificación:
09/05/2025
Descripción
Las versiones del paquete svix anteriores a la 1.17.0 son vulnerables a la omisión de autenticación debido a un problema en la función de verificación donde las firmas de diferentes longitudes se comparan incorrectamente. Un atacante puede eludir la verificación de firma proporcionando una firma más corta que coincida con el comienzo de la firma real. **Nota:** El atacante necesitaría saber que la víctima usa la librería Rust para la verificación, no hay una manera fácil de verificarlo automáticamente; y utiliza webhooks de un servicio que utiliza Svix, y luego encuentra una manera de crear una carga útil maliciosa que en realidad incluirá todos los identificadores correctos necesarios para engañar a los receptores y causar problemas reales.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:svix:svix-webhooks:*:*:*:*:*:*:*:* | 1.17.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/svix/svix-webhooks/commit/958821bd3b956d1436af65f70a0964d4ffb7daf6
- https://github.com/svix/svix-webhooks/pull/1190
- https://rustsec.org/advisories/RUSTSEC-2024-0010.html
- https://security.snyk.io/vuln/SNYK-RUST-SVIX-6230729
- https://github.com/svix/svix-webhooks/commit/958821bd3b956d1436af65f70a0964d4ffb7daf6
- https://github.com/svix/svix-webhooks/pull/1190
- https://rustsec.org/advisories/RUSTSEC-2024-0010.html
- https://security.snyk.io/vuln/SNYK-RUST-SVIX-6230729