Vulnerabilidad en Hyperledger Aries Cloud Agent Python (ACA-Py) (CVE-2024-21669)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/01/2024
Última modificación:
20/01/2024
Descripción
Hyperledger Aries Cloud Agent Python (ACA-Py) es una base para crear aplicaciones y servicios de identidad descentralizados que se ejecutan en entornos no móviles. Al verificar las credenciales verificables en formato W3C usando JSON-LD con Linked Data Proofs (LDP-VC), el resultado de verificar la presentación `document.proof` no se tuvo en cuenta en el valor final `verified` (`true`/`false`) en el acta de presentación. La falla permite a los titulares de credenciales verificables en formato W3C que utilizan JSON-LD con pruebas de datos vinculados (LDP) presentar pruebas construidas incorrectamente y permite a verificadores maliciosos guardar y reproducir una presentación de dichos titulares como propia. Esta vulnerabilidad ha estado presente desde la versión 0.7.0 y se corrigió en la versión 0.10.5.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hyperledger:aries_cloud_agent:*:*:*:*:*:python:*:* | 0.7.0 (incluyendo) | 0.10.5 (excluyendo) |
| cpe:2.3:a:hyperledger:aries_cloud_agent:0.11.0:rc1:*:*:*:python:*:* | ||
| cpe:2.3:a:hyperledger:aries_cloud_agent:0.11.0:rc2:*:*:*:python:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/hyperledger/aries-cloudagent-python/commit/0b01ffffc0789205ac990292f97238614c9fd293
- https://github.com/hyperledger/aries-cloudagent-python/commit/4c45244e2085aeff2f038dd771710e92d7682ff2
- https://github.com/hyperledger/aries-cloudagent-python/releases/tag/0.10.5
- https://github.com/hyperledger/aries-cloudagent-python/releases/tag/0.11.0
- https://github.com/hyperledger/aries-cloudagent-python/security/advisories/GHSA-97x9-59rv-q5pm