Vulnerabilidad en libsignal-service-rs (CVE-2025-24903)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

13/02/2025

Última modificación:

13/02/2025

Descripción

libsignal-service-rs es una versión Rust de la librería libsignal-service-java que implementa la funcionalidad principal para comunicarse con los servidores Signal. Antes del commit 82d70f6720e762898f34ae76b0894b0297d9b2f8, cualquier contacto puede falsificar un mensaje de sincronización, haciéndose pasar por otro dispositivo del usuario local. No se verifica el origen de los mensajes de sincronización. Se puede encontrar libsignal-service parcheado después del commit 82d70f6720e762898f34ae76b0894b0297d9b2f8. La estructura `Metadata` contiene un campo `was_encrypted` adicional, que rompe la API, pero debería poder resolverse fácilmente. No hay workarounds disponibles.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.50

Gravedad 3.x

ALTA

Vulnerabilidad en libsignal-service-rs (CVE-2025-24903)

Descripción

Impacto

Referencias a soluciones, herramientas e información