← volver
CVE-2026-39972

Mercure has a Topic Selector Cache Key Collision

CVSS 7.1 HIGHEPSS 0.3%CWE-1289
En resumen

Mercure tiene una falla en cómo almacena en caché las decisiones de acceso para actualizaciones privadas. Un atacante puede crear nombres de tópicos que generen la misma entrada de caché que otro tópico, engañando al sistema para entregar mensajes privados a usuarios no autorizados o bloquear los legítimos.

Detalle técnico

Una colisión de clave de caché en TopicSelectorStore ocurre porque los selectores de tópicos y tópicos se concatenan con separadores guion bajo, permitiendo que pares distintos produzcan claves idénticas. Un atacante autenticado que pueda suscribirse o publicar puede explotar esto para envenenar el caché y eludir las verificaciones de autorización en actualizaciones privadas, afectando confidencialidad y disponibilidad.

Resumen generado y traducido por IA a partir de la descripción oficial.
Mercure is a protocol for pushing data updates to web browsers and other HTTP clients in a battery-efficient way. Prior to 0.22.0, a cache key collision vulnerability in TopicSelectorStore allows an attacker to poison the match result cache, potentially causing private updates to be delivered to unauthorized subscribers or blocking delivery to authorized ones. The cache key was constructed by concatenating the topic selector and topic with an underscore separator. Because both topic selectors and topics can contain underscores, two distinct pairs can produce the same key. An attacker who can subscribe to the hub or publish updates with crafted topic names can exploit this to bypass authorization checks on private updates. This vulnerability is fixed in 0.22.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N
Productos afectados
dunglas · mercure

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/dunglas/mercure/commit/4964a69be904fd61e35b5f1e691271663b6fdd64https://github.com/dunglas/mercure/security/advisories/GHSA-hwr4-mq23-wcv5