Vulnerabilidad en Agent Dart (CVE-2024-48915)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
15/10/2024
Última modificación:
16/10/2024
Descripción
Agent Dart es una librería de agentes creada para aplicaciones de Internet Computer para Dart y Flutter. Antes de la versión 1.0.0-dev.29, la verificación de certificados en `lib/agent/certificate.dart` no se realiza correctamente. Durante la verificación de delegación en la función `_checkDelegation`, no se verifican los canister_ranges. El impacto de no verificar los canister_ranges es que una subred puede firmar respuestas de canister en nombre de otra subred. La marca de tiempo del certificado, es decir, la ruta /time, tampoco se verifica, lo que significa que el certificado efectivamente no tiene tiempo de vencimiento. La versión 1.0.0-dev.29 implementa la verificación de certificados adecuada.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
0.00
Gravedad 3.x
Pendiente de análisis
Referencias a soluciones, herramientas e información
- https://github.com/AstroxNetwork/agent_dart/blob/f50971dfae3f536c1720f0084f28afbcf5d99cb5/lib/agent/certificate.dart#L162
- https://github.com/AstroxNetwork/agent_dart/blob/main/lib/agent/certificate.dart
- https://github.com/AstroxNetwork/agent_dart/commit/0d200686aabcd9313c7bc3e675cbdc82f6b775cf
- https://github.com/AstroxNetwork/agent_dart/security/advisories/GHSA-fmj7-7gfw-64pg