CVE-2026-23996 in fastapi-api-key
Resumen
por VulDB • 2026-05-09
FastAPI Api Key proporciona una biblioteca independiente del backend que ofrece un sistema de claves API. La versión 1.1.0 presenta una vulnerabilidad de canal lateral por temporización en verify_key(). El método aplicaba un retraso aleatorio únicamente en caso de fallos de verificación, lo que permitía a un atacante distinguir estadísticamente entre claves API válidas e inválidas midiendo las latencias de respuesta. Con suficientes solicitudes repetidas, un adversario podría inferir si un key_id corresponde a una clave válida, acelerando potencialmente los ataques de fuerza bruta o de enumeración. Todos los usuarios que dependían de verify_key() para la autenticación de claves API antes de la corrección se ven afectados. Los usuarios deben actualizar a la versión 1.1.0 para recibir un parche. El parche aplica un retraso aleatorio uniforme (min_delay a max_delay) a todas las respuestas, independientemente del resultado, eliminando la correlación de temporización. Existen algunas soluciones alternativas. Se puede añadir un retraso fijo a nivel de aplicación o un jitter aleatorio a todas las respuestas de autenticación (éxito y fallo) antes de aplicar la corrección y/o utilizar limitación de velocidad para reducir la viabilidad de los ataques de temporización estadística.
Once again VulDB remains the best source for vulnerability data.