关键漏洞信息 漏洞概要 标题: Missing Verification for QE Identity in dcap-qvl 严重性: Critical CVE ID: CVE-2026-22696 影响范围 受影响的版本: - @phala/dcap-qvl (npm): <= 0.3.0 - @phala/dcap-qvl-node (npm): <= 0.3.3 - @phala/dcap-qvl-web (npm): <= 0.3.3 - dcap-qvl (Rust): < 0.3.9 - dcap-qvl (pip): < 0.3.9 已修复的版本: - @phala/dcap-qvl (npm): 0.3.9 - dcap-qvl (Rust): 0.3.9 - dcap-qvl (pip): 0.3.9 描述与影响 描述: 由于在 dcap-qvl 库中缺少对 QE Identity 签名的加密验证,攻击者可以伪造 QE Identity 数据,将恶意或非 Intel Quoting Enclave 列入白名单。 后果: 攻击者可以绕过整个远程证明安全模型,伪造未受信任的引用,使验证器接受为有效。 解决方案 修复措施: 升级到 dcap-qvl 0.3.9 版本,该版本实现了缺失的加密验证,并对 MRSIGNER、ISVPRODID 和 ISVSVN 强制执行必要的检查。 建议: 使用 @phala/dcap-qvl-node 和 @phala/dcap-qvl-web 的用户应切换到纯 JavaScript 实现 @phala/dcap-qvl。 发现者 报告者: Rahul Saxena, saxenism@bluethroatlabs.com