一、 漏洞 CVE-2025-24904 基础信息
漏洞标题
libsignal-service-rs 不会对明文信封进行合理性检查
来源:AIGC 神龙大模型
漏洞描述信息
libsignal-service-rs 是 libsignal-service-java 库的 Rust 版本,实现了与 Signal 服务器通信的核心功能。在 82d70f6720e762898f34ae76b0894b0297d9b2f8 提交之前,明文内容包可能被服务器或恶意客户端注入,并可能绕过端到端加密和认证。此漏洞在 82d70f6720e762898f34ae76b0894b0297d9b2f8 提交中已被修复。`Metadata` 结构体中新增了一个 `was_encrypted` 字段,该字段破坏了 API,但应能很容易解决。目前没有已知的变通方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
libsignal-service-rs doesn't sanity check plaintext envelopes are not sanity-checked
来源:美国国家漏洞数据库 NVD
漏洞描述信息
libsignal-service-rs is a Rust version of the libsignal-service-java library which implements the core functionality to communicate with Signal servers. Prior to commit 82d70f6720e762898f34ae76b0894b0297d9b2f8, plaintext content envelopes could be injected by a server or a malicious client, and may have been able to bypass the end-to-end encryption and authentication. The vulnerability is fixed per 82d70f6720e762898f34ae76b0894b0297d9b2f8. The `Metadata` struct contains an additional `was_encrypted` field, which breaks the API, but should be easily resolvable. No known workarounds are available.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-24904 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-24904 的情报信息