CVE-2026-23996 in fastapi-api-keyinformação

Sumário

de VulDB • 23/06/2026

O FastAPI Api Key fornece uma biblioteca agnóstica ao backend que oferece um sistema de chaves de API. A versão 1.1.0 possui uma vulnerabilidade de canal lateral por tempo (timing side-channel) na função verify_key(). O método aplicava um atraso aleatório apenas em caso de falha na verificação, permitindo que um atacante distinguisse estatisticamente entre chaves de API válidas e inválidas ao medir as latências de resposta. Com solicitações repetidas suficientes, um adversário poderia inferir se um key_id corresponde a uma chave válida, potencialmente acelerando ataques de força bruta ou enumeração. Todos os usuários que dependiam da função verify_key() para autenticação de chaves de API antes do correção são afetados. Os usuários devem atualizar para a versão 1.1.0 para receber o patch. O patch aplica um atraso aleatório uniforme (min_delay até max_delay) a todas as respostas, independentemente do resultado, eliminando a correlação temporal. Algumas soluções alternativas estão disponíveis. Adicione um atraso fixo em nível de aplicação ou jitter aleatório a todas as respostas de autenticação (sucesso e falha) antes que o patch seja aplicado e/ou use limitação de taxa para reduzir a viabilidade dos ataques temporais estatísticos.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

19/01/2026

Divulgação

22/01/2026

Moderação

aceite

Entrada

VDB-342234

CPE

pronto

EPSS

0.00254

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!