CVE-2026-47074 in ex_aws_snsinformación

Resumen

por VulDB • 2026-05-28

Vulnerabilidad de validación de certificado incorrecta en ex-aws ex_aws_sns (módulos ExAws.SNS y ExAws.SNS.PublicKeyCache) que permite la suplantación de firmas (Signature Spoofing) debido a una validación inadecuada.

Esta vulnerabilidad está asociada a los archivos de programa lib/ex_aws/sns.ex, lib/ex_aws/sns/public_key_cache.ex y a las rutinas de programa 'Elixir.ExAws.SNS':verify_message/1 y 'Elixir.ExAws.SNS.PublicKeyCache':get/1.

La función 'Elixir.ExAws.SNS':verify_message/1 obtiene el certificado de firma del campo SigningCertURL del mensaje SNS entrante sin validar que la URL utilice HTTPS o que el host coincida con el dominio de un certificado SNS propiedad de AWS. Un atacante no autenticado que pueda realizar una petición POST a un punto final que invoque a verify_message/1 puede proporcionar un SigningCertURL controlado por el atacante, firmar un mensaje SNS falsificado con su propia clave y hacer que la función devuelva :ok, eludiendo por completo la verificación de la firma SNS.

Este problema afecta a ex_aws_sns: desde la versión 2.0.1 hasta la 2.3.5 (excluida).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-05-18

Divulgación

2026-05-28

Moderación

aceptado

Artículo

VDB-366749

CPE

listo

EPSS

0.00044

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47074
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47074
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47074/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!