一、 漏洞 CVE-2024-21669 基础信息
漏洞标题
Hyperledger Aries Cloud Agent Python 的演示验证结果未在LDP-VC中进行检查
来源:AIGC 神龙大模型
漏洞描述信息
Hyperledger Aries Cloud Agent Python(ACA-Py)是构建在非移动设备环境中运行的分布式身份应用程序和服务的的基础。在验证使用JSON-LD与关联数据证明(LDP-VCs)的W3C格式可验证身份凭据时,验证`document.proof`的结果并未将其 factor into presentation record中的最终`verified`值(true/false)。这个漏洞使使用JSON-LD与关联数据证明(LDP)的W3C格式可验证身份凭据的持有者可以呈现错误的证明,并允许恶意验证者将此类持有者的证明保存和重放为自己。这个漏洞自0.7.0版本以来都存在,并在0.10.5版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Hyperledger Aries Cloud Agent Python result of presentation verification not checked for LDP-VC
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Hyperledger Aries Cloud Agent Python (ACA-Py) is a foundation for building decentralized identity applications and services running in non-mobile environments. When verifying W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDP-VCs), the result of verifying the presentation `document.proof` was not factored into the final `verified` value (`true`/`false`) on the presentation record. The flaw enables holders of W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDPs) to present incorrectly constructed proofs, and allows malicious verifiers to save and replay a presentation from such holders as their own. This vulnerability has been present since version 0.7.0 and fixed in version 0.10.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Hyperledger Aries Cloud Agent Python 数据伪造问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hyperledger Aries Cloud Agent Python是用于构建在非移动环境中运行的去中心化身份应用程序和服务的基础的工具。 Hyperledger Aries Cloud Agent Python 0.7.0之前版本存在数据伪造问题漏洞,该漏洞源于没有正确检查W3C格式JSON-LD LDP-VC的演示验证结果,导致存在数据伪造问题漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-21669 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-21669 的情报信息