Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Trustee (CVE-2024-51997)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
08/11/2024
Última modificación:
12/11/2024

Descripción

Trustee es un conjunto de herramientas y componentes para certificar a los invitados confidenciales y proporcionarles secretos. El token ART (**Attestation Results Token**), generado por AS, podría ser manipulado por un atacante MITM, pero el verificador (CoCo Verification Demander como KBS) aún podría verificarlo con éxito. En el payload del token ART, el atacante podría reemplazar el 'jwk' con su propia clave pública. Luego, el atacante puede usar su propia clave privada correspondiente para firmar el token ART creado. Según la implementación del código actual (v0.8.0), no se puede detectar dicho reemplazo y modificación. Este problema se ha solucionado en la versión 0.8.2 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.