Vulnerabilidad en dcap-qvl (CVE-2026-22696)

dcap-qvl implementa la lógica de verificación de citas para DCAP (Data Center Attestation Primitives). Una vulnerabilidad presente en versiones anteriores a la 0.3.9 implica una brecha crítica en el proceso de verificación criptográfica dentro de dcap-qvl. La librería obtiene el colateral de Identidad QE (incluyendo qe_identity, qe_identity_signature y qe_identity_issuer_chain) del PCCS. Sin embargo, omite verificar la firma de Identidad QE contra su cadena de certificados y no aplica restricciones de política en el Informe QE. Un atacante puede falsificar los datos de Identidad QE para incluir en la lista blanca un Enclave de Citas malicioso o no Intel. Esto permite al atacante falsificar el QE y firmar citas no confiables que el verificador aceptará como válidas. Efectivamente, esto elude todo el modelo de seguridad de atestación remota, ya que el verificador ya no puede confiar en la entidad responsable de firmar las citas. Todas las implementaciones que utilizan la librería dcap-qvl para la verificación de citas SGX o TDX están afectadas. La vulnerabilidad ha sido parcheada en la versión 0.3.9 de dcap-qvl. La solución implementa la verificación criptográfica faltante para la firma de Identidad QE y aplica las comprobaciones requeridas para MRSIGNER, ISVPRODID e ISVSVN contra el Informe QE. Los usuarios de los paquetes '@phala/dcap-qvl-node' y '@phala/dcap-qvl-web' deberían cambiar a la implementación pura de JavaScript, '@phala/dcap-qvl'. No existen soluciones alternativas conocidas para esta vulnerabilidad. Los usuarios deben actualizar a la versión parcheada para asegurar que el colateral de Identidad QE sea verificado correctamente.