CVE-2026-23996 in fastapi-api-key
Sumário
de VulDB • 23/06/2026
O FastAPI Api Key fornece uma biblioteca agnóstica ao backend que oferece um sistema de chaves de API. A versão 1.1.0 possui uma vulnerabilidade de canal lateral por tempo (timing side-channel) na função verify_key(). O método aplicava um atraso aleatório apenas em caso de falha na verificação, permitindo que um atacante distinguisse estatisticamente entre chaves de API válidas e inválidas ao medir as latências de resposta. Com solicitações repetidas suficientes, um adversário poderia inferir se um key_id corresponde a uma chave válida, potencialmente acelerando ataques de força bruta ou enumeração. Todos os usuários que dependiam da função verify_key() para autenticação de chaves de API antes do correção são afetados. Os usuários devem atualizar para a versão 1.1.0 para receber o patch. O patch aplica um atraso aleatório uniforme (min_delay até max_delay) a todas as respostas, independentemente do resultado, eliminando a correlação temporal. Algumas soluções alternativas estão disponíveis. Adicione um atraso fixo em nível de aplicação ou jitter aleatório a todas as respostas de autenticação (sucesso e falha) antes que o patch seja aplicado e/ou use limitação de taxa para reduzir a viabilidade dos ataques temporais estatísticos.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.