Vulnerabilidad en Biscuit (CVE-2024-42350)

Biscuit es un token de autorización con verificación descentralizada, atenuación fuera de línea y una fuerte aplicación de políticas de seguridad basada en un lenguaje lógico. Se pueden generar bloques de terceros sin transferir el token completo a la autoridad de terceros. En su lugar, se puede enviar una solicitud `ThirdPartyBlock`, proporcionando solo la información necesaria para generar un bloque de terceros y firmarlo: 1. la clave pública del bloque anterior (utilizada en la firma), 2. la parte de las claves públicas de la tabla de símbolos de token (para la clave pública interna en expresiones de registro de datos). Una solicitud de bloqueo de un tercero falsificada por un usuario malintencionado puede engañar a la autoridad del tercero para que genere un registro de datos que confíe en el par de claves incorrecto. Tokens con bloques de terceros que contienen anotaciones "confiables" generadas a través de una solicitud de bloqueo de terceros. Esto se ha solucionado en la versión 4 de la especificación. Se recomienda a los usuarios que actualicen sus implementaciones para ajustarlas. No se conocen workarounds para esta vulnerabilidad.