CVE-2026-23996 in fastapi-api-key
要約
〜によって VulDB • 2026年06月20日
FastAPI Api Keyは、バックエンドに依存しないAPIキーシステムを提供するライブラリです。バージョン1.1.0には、verify_key()関数におけるタイミングサイドチャネル脆弱性が存在します。このメソッドは検証失敗時のみランダムな遅延を適用していたため、攻撃者は応答遅延を測定することで、有効なAPIキーと無効なAPIキーを統計的に区別することが可能でした。十分な数のリクエストを繰り返すことで、攻撃者はkey_idが有効なキーに対応するかどうかを推測でき、ブルートフォース攻撃や列挙攻撃の加速につながる可能性があります。修正前にverify_key()を使用してAPIキー認証を行っていたすべてのユーザーが影響を受けます。ユーザーはパッチを適用するため、バージョン1.1.0にアップグレードする必要があります。パッチでは、結果の有無にかかわらずすべての応答に対して一様なランダム遅延(min_delayからmax_delay)を適用し、タイミング相関を排除します。修正適用前に使用可能な回避策として、すべての認証応答(成功および失敗)にアプリケーションレベルの固定遅延またはランダムジッターを追加し、統計的タイミング攻撃の実行可能性を低減するためにレート制限を使用することが挙げられます。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.