CVE-2026-23996 in fastapi-api-keyinformazioni

Riassunto

di VulDB • 23/06/2026

FastAPI Api Key fornisce una libreria indipendente dal backend che offre un sistema di chiavi API. La versione 1.1.0 presenta una vulnerabilità side-channel basata sui tempi (timing) nella funzione verify_key(). Il metodo applicava un ritardo casuale solo in caso di fallimento della verifica, consentendo a un attaccante di distinguere statisticamente le chiavi API valide da quelle non valide misurando le latenze di risposta. Con un numero sufficiente di richieste ripetute, un avversario potrebbe dedurre se un key_id corrisponde a una chiave valida, potenzialmente accelerando attacchi brute-force o di enumerazione. Tutti gli utenti che si affidano a verify_key() per l'autenticazione delle chiavi API prima della correzione sono interessati. Gli utenti dovrebbero effettuare l'aggiornamento alla versione 1.1.0 (nota: il testo originale indica erroneamente la versione vulnerabile come target dell'upgrade; in contesti reali, si aggiorna all'ultima patch disponibile) per ricevere una correzione. La patch applica un ritardo casuale uniforme (da min_delay a max_delay) a tutte le risposte indipendentemente dall'esito, eliminando la correlazione temporale. Sono disponibili alcune contromisure: aggiungere un ritardo fisso o un jitter casuale di livello applicazione a tutte le risposte di autenticazione (sia successo che fallimento) prima dell'applicazione della correzione e/o utilizzare il rate limiting per ridurre la fattibilità degli attacchi timing statistici.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

19/01/2026

Divulgazione

22/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00254

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!