CVE-2026-23996 in fastapi-api-key
요약
\~에 의해 VulDB • 2026. 06. 23.
FastAPI Api Key는 백엔드 독립적인 라이브러리로서 API 키 시스템을 제공합니다. 버전 1.1.0에는 verify_key() 함수에서 타이밍 사이드채널 취약점이 존재합니다. 해당 메서드는 검증 실패 시에만 무작위 지연을 적용했으므로, 공격자는 응답 지연 시간을 측정하여 유효한 API 키와 무효한 키를 통계적으로 구분할 수 있었습니다. 충분한 반복 요청을 통해 적대적 사용자는 key_id가 유효한 키에 해당하는지 추론할 수 있으며, 이는 브루트포스 또는 열거(enumeration) 공격의 가속화로 이어질 수 있습니다. 패치가 적용되기 전에 verify_key()를 API 키 인증에 의존하던 모든 사용자가 영향을 받습니다. 사용자는 패치를 수신하기 위해 버전 1.1.0으로 업그레이드해야 합니다. 해당 패치는 결과와 무관하게 모든 응답에 균일한 무작위 지연(min_delay부터 max_delay까지)을 적용하여 타이밍 상관관계를 제거합니다. 일부 우회 방법(workarounds)이 제공됩니다. 패치가 적용되기 전까지는 성공 및 실패를 포함한 모든 인증 응답에 애플리케이션 수준의 고정 지연 또는 무작위 지터(jitter)를 추가하고/또는 통계적 타이밍 공격의 실현 가능성을 줄이기 위해 속도 제한(rate limiting)을 사용하십시오.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.