漏洞关键信息 漏洞名称: XML signature verification bypass due improper verification of signature / signature spoofing 漏洞ID: GHSA-2xp3-57p7-qf4v CVE ID: CVE-2024-32962 严重性: - Critical - 10.0 / 10 影响的版本 受影响版本: >=4.0.0, <6.0.0 已修复版本: 6.0.0 漏洞描述 摘要: 默认配置未检查签名者的授权,仅根据W3C规范检查签名的有效性,这允许攻击者通过重新签名XML文档并操纵 元素中的证书来绕过 的默认验证检查。 细节: - 默认信任任何通过数字签名的XML文档的 提供的证书。 - 即使配置了特定的证书( ), 也会优先使用 提供的证书。 - 攻击者可以通过修改XML文档,替换现有签名,并将恶意私钥的证书附加到 元素中,从而欺骗签名验证。 漏洞成因 漏洞是由于 版本引入的变化导致的: - 发生在 和 中,默认方法从签名的XML文档中提取证书。 - 方法的输出被优先用作签名验证的证书,即使库配置为使用特定的 。 修复措施 问题在 版本中得到修复,通过禁用默认的 实现的隐式使用。 影响 未受信任的证书可用于通过错误配置的 实例传递恶意XML负载。 绕过方案 对于 和 版本,可以采取以下措施避免漏洞: 在接受验证结果之前,检查 提取的证书是否为可信证书。 将 的 设置为 ,强制使用显式配置的 或 进行签名验证。