Vulnerabilidad en Trustee (CVE-2024-51997)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
08/11/2024
Última modificación:
12/11/2024
Descripción
Trustee es un conjunto de herramientas y componentes para certificar a los invitados confidenciales y proporcionarles secretos. El token ART (**Attestation Results Token**), generado por AS, podría ser manipulado por un atacante MITM, pero el verificador (CoCo Verification Demander como KBS) aún podría verificarlo con éxito. En el payload del token ART, el atacante podría reemplazar el 'jwk' con su propia clave pública. Luego, el atacante puede usar su propia clave privada correspondiente para firmar el token ART creado. Según la implementación del código actual (v0.8.0), no se puede detectar dicho reemplazo y modificación. Este problema se ha solucionado en la versión 0.8.2 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA