Vulnerabilidad en Matrix-rust-sdk (CVE-2024-40648)

Matrix-rust-sdk es una implementación de una librería cliente-servidor Matrix en Rust. El método `UserIdentity::is_verified()` en la caja Matrix-sdk-crypto anterior a la versión 0.7.2 no tiene en cuenta el estado de verificación de la propia identidad del usuario al realizar la verificación y, como resultado, puede devolver un valor contrario. a lo que implica su nombre y documentación. Si el método se utiliza para decidir si se realizan operaciones confidenciales con respecto a la identidad de un usuario, un servidor doméstico malicioso podría manipular el resultado para que la identidad parezca confiable. Este no es un uso típico del método, lo que reduce el impacto. El método en sí no se utiliza dentro de la caja `matrix-sdk-crypto`. La versión 0.7.2 de la caja `matrix-sdk-crypto` incluye una solución. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.