一、 漏洞 CVE-2025-24903 基础信息
漏洞标题
libsignal-service-rs 不验证同步消息的来源
来源:AIGC 神龙大模型
漏洞描述信息
libsignal-service-rs 是 libsignal-service-java 库的 Rust 版本,实现了与 Signal 服务器通信的核心功能。在提交 82d70f6720e762898f34ae76b0894b0297d9b2f8 之前,任何联系人都可以伪造同步消息,冒充本地用户的另一台设备。同步消息的来源未经过验证。修复后的 libsignal-service 可以在提交 82d70f6720e762898f34ae76b0894b0297d9b2f8 之后找到。`Metadata` 结构中包含了一个额外的 `was_encrypted` 字段,这会破坏 API,但应该可以很容易地解决。目前没有已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
源验证错误
来源:AIGC 神龙大模型
漏洞标题
libsignal-service-rs Doesn't Check Origin of Sync Messages
来源:美国国家漏洞数据库 NVD
漏洞描述信息
libsignal-service-rs is a Rust version of the libsignal-service-java library which implements the core functionality to communicate with Signal servers. Prior to commit 82d70f6720e762898f34ae76b0894b0297d9b2f8, any contact may forge a sync message, impersonating another device of the local user. The origin of sync messages is not checked. Patched libsignal-service can be found after commit 82d70f6720e762898f34ae76b0894b0297d9b2f8. The `Metadata` struct contains an additional `was_encrypted` field, which breaks the API, but should be easily resolvable. No known workarounds are available.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对数据真实性的验证不充分
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-24903 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-24903 的情报信息