Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Agent Dart (CVE-2024-48915)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
15/10/2024
Última modificación:
16/10/2024

Descripción

Agent Dart es una librería de agentes creada para aplicaciones de Internet Computer para Dart y Flutter. Antes de la versión 1.0.0-dev.29, la verificación de certificados en `lib/agent/certificate.dart` no se realiza correctamente. Durante la verificación de delegación en la función `_checkDelegation`, no se verifican los canister_ranges. El impacto de no verificar los canister_ranges es que una subred puede firmar respuestas de canister en nombre de otra subred. La marca de tiempo del certificado, es decir, la ruta /time, tampoco se verifica, lo que significa que el certificado efectivamente no tiene tiempo de vencimiento. La versión 1.0.0-dev.29 implementa la verificación de certificados adecuada.