Hex真实性签名包未经验证·CVE-2019-1000013·GitHub咨询数据库·GitHub
平台
-
GitHub Copilot
-
GitHub Spark
-
GitHub Models
-
GitHub Advanced Security
-
Actions
-
Codespaces
-
Code Review
-
Discussions
-
Code Search
CVE-2019-1000013 Hex包管理器hex_core在0.4.0及更早版本中存在一个签名验证漏洞,该漏洞可能导致代码执行。攻击者可以通过受害者从恶意/被入侵的镜像获取包来利用此漏洞。此漏洞已在0.4.0版本中修复。
包
- erlang
- hex_core (Erlang)
受影响版本 < 0.4.0
已修补版本 0.4.0
描述 Hex包管理器hex_core 0.3.0及更早版本包含一个包注册验证中的签名预言机漏洞,可能导致无法检测到的包修改,从而允许代码执行。此攻击似乎可以通过受害者从恶意/被入侵的镜像获取包来利用。此漏洞似乎在0.4.0版本中已修复。
参考
- https://nvd.nist.gov/vuln/detail/CVE-2019-1000013
- hexpm/hex_core#48
- hexpm/hex_core#51
发布日期
- 国家漏洞数据库:2019年2月4日
- GitHub咨询数据库:2022年5月13日
- 审核日期:2024年5月2日
- 最后更新:2024年5月2日
严重程度
- 高
- CVSS总体得分:8.8/10
CVSS v3基本指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:未更改
- 保密性:高
- 完整性:高
- 可用性:高
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
EPSS得分 0.233%(第46百分位)
弱点
- 弱点:CWE-345
- 数据真实性验证不足:产品未能充分验证数据的来源或真实性,导致其接受无效数据。
CVE ID CVE-2019-1000013
GHSA ID GHSA-q3cc-rr2c-87r6
源代码 hexpm/hex_core
致谢 分析员:maennchen
Dependabot警报在此咨询的部分或所有生态系统上不受支持。