Vulnerabilidad en web-auth/webauthn-lib (CVE-2024-39912)

web-auth/webauthn-lib es un conjunto de librerías PHP de código abierto y un paquete Symfony para permitir a los desarrolladores integrar ese mecanismo de autenticación en sus aplicaciones web. El método ProfileBasedRequestOptionsBuilder devuelve AllowCredentials sin ninguna credencial si no se encontró ningún nombre de usuario. Cuando se utiliza WebAuthn como primer o único método de autenticación, un atacante puede enumerar los nombres de usuario basándose en la ausencia de la propiedad "allowedCredentials" en la respuesta de las opciones de aserción. Esto permite la enumeración de nombres de usuario válidos o no válidos. Al saber qué nombres de usuario son válidos, los atacantes pueden centrar sus esfuerzos en un conjunto más pequeño de objetivos potenciales, aumentando la eficiencia y la probabilidad de ataques exitosos. Este problema se solucionó en la versión 4.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.