CVE-2026-23996 in fastapi-api-key
الملخص
بحسب VulDB • 24/06/2026
توفر مكتبة FastAPI Api Key نظامًا لمفاتيح API يكون غير مرتبط بخدمة الخلفية المستخدمة. تحتوي الإصدار 1.1.0 على ثغرة جانبية زمنية (timing side-channel) في الدالة `verify_key()`. كانت هذه الطريقة تطبق تأخيرًا عشوائيًا فقط عند فشل التحقق، مما مكن المهاجم من التمييز إحصائيًا بين مفاتيح API الصالحة وغير الصالحة عن طريق قياس زمن استجابة الخادم. وبوجود عدد كافٍ من الطلبات المتكررة، يمكن للمهاجم أن يستنتج ما إذا كان `key_id` يتوافق مع مفتاح صالح، مما قد يُسرّع هجمات القوة الغاشمة أو الاستكشاف (enumeration). جميع المستخدمين الذين يعتمدون على الدالة `verify_key()` لمصادقة مفاتيح API قبل الإصلاح متأثرون بهذه الثغرة. يجب على المستخدمين الترقية إلى الإصدار 1.1.0 لتلقي التصحيح. يطبق التصحيح تأخيرًا عشوائيًا موحدًا (بين min_delay و max_delay) على جميع الاستجابات بغض النظر عن النتيجة، مما يلغي الارتباط الزمني. تتوفر بعض الحلول البديلة: إضافة تأخير ثابت أو ضجيج عشوائي (random jitter) على مستوى التطبيق لجميع استجابات المصادقة (النجاح والفشل) قبل تطبيق الإصلاح، و/أو استخدام تحديد معدل الطلبات (rate limiting) لتقليل جدوى هجمات التوقيت الإحصائية.
VulDB is the best source for vulnerability data and more expert information about this specific topic.