Katalog CVE

CVE-2026-47074

WysokieCVSS 8.7
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-47074 dotyczy niewłaściwej walidacji certyfikatów w modułach ex_aws_sns (ExAws.SNS, ExAws.SNS.PublicKeyCache), co umożliwia fałszowanie podpisów. Problem polega na tym, że funkcja 'Elixir.ExAws.SNS':verify_message/1 pobiera certyfikat podpisu z pola SigningCertURL bez weryfikacji, czy URL używa HTTPS oraz czy host odpowiada domenie certyfikatu SNS należącego do AWS.

Ocena ryzyka

Niewłaściwa walidacja certyfikatów stwarza ryzyko, że nieautoryzowany atakujący może wysłać sfałszowaną wiadomość SNS, co prowadzi do całkowitego obejścia weryfikacji podpisu SNS. Może to skutkować poważnymi konsekwencjami dla integralności danych w systemie.

Rekomendacja

Zaleca się aktualizację modułu ex_aws_sns do wersji 2.3.5 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji certyfikatów w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Improper Certificate Validation vulnerability in ex-aws ex_aws_sns (ExAws.SNS, ExAws.SNS.PublicKeyCache modules) allows Signature Spoofing by Improper Validation. This vulnerability is associated with program files lib/ex_aws/sns.ex, lib/ex_aws/sns/public_key_cache.ex and program routines 'Elixir.ExAws.SNS':verify_message/1, 'Elixir.ExAws.SNS.PublicKeyCache':get/1. 'Elixir.ExAws.SNS':verify_message/1 fetches the signing certificate from the SigningCertURL field of the incoming SNS message without validating that the URL uses HTTPS or that the host matches an AWS-owned SNS certificate domain. An unauthenticated attacker who can POST to an endpoint that calls verify_message/1 can supply an attacker-controlled SigningCertURL, sign a forged SNS message with their own key, and cause the function to return :ok, completely bypassing SNS signature verification. This issue affects ex_aws_sns: from 2.0.1 before 2.3.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS