CVE-2026-47074 in ex_aws_sns정보

요약

\~에 의해 VulDB • 2026. 05. 28.

ex_aws ex_aws_sns(ExAws.SNS, ExAws.SNS.PublicKeyCache 모듈)의 부적절한 인증서 검증 취약점으로 인해 서명 스푸핑(Signature Spoofing)이 가능합니다.

이 취약점은 lib/ex_aws/sns.ex, lib/ex_aws/sns/public_key_cache.ex 프로그램 파일 및 'Elixir.ExAws.SNS':verify_message/1, 'Elixir.ExAws.SNS.PublicKeyCache':get/1 프로그램 루틴과 관련이 있습니다.

'Elixir.ExAws.SNS':verify_message/1은 들어오는 SNS 메시지의 SigningCertURL 필드에서 서명 인증서를 가져오지만, 해당 URL이 HTTPS를 사용하는지 또는 호스트가 AWS 소유 SNS 인증서 도메인과 일치하는지 검증하지 않습니다. verify_message/1을 호출하는 엔드포인트로 POST 요청을 보낼 수 있는 비인증 공격자는 공격자가 제어하는 SigningCertURL을 제공하여 자신의 키로 위조된 SNS 메시지를 서명하고, 함수가 :ok를 반환하도록 만들어 SNS 서명 검증을 완전히 우회할 수 있습니다.

이 문제는 ex_aws_sns 2.0.1부터 2.3.5 미만 버전에서 영향을 받습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

EEF

예약하다

2026. 05. 18.

공개

2026. 05. 28.

모더레이션

수락

항목

VDB-366749

CPE

준비됨

CWE

CWE-295 (확인됨)

CVSS

3.7 (VulDB)

EPSS

0.00044

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47074
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47074
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47074/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!