Hex包管理器签名验证漏洞CVE-2019-1000013深度解析

本文详细分析了Erlang的Hex包管理器hex_core在0.4.0之前版本中存在的一个高严重性安全漏洞。该漏洞源于对已签名软件包的真实性验证不足,可能导致恶意代码执行,CVSS评分为8.8分。

Hex authenticity of signed packages not validated · CVE-2019-1000013 · GitHub Advisory Database

CVE-2019-1000013

摘要 Hex包管理器hex_core的0.3.0及更早版本包含一个签名预言机漏洞,存在于软件包注册表验证过程中。这可能导致软件包修改未被检测到,从而允许代码执行。此攻击似乎可以通过受害者从恶意/被入侵的镜像获取软件包来利用。该漏洞已在0.4.0版本中修复。

受影响版本 < 0.4.0

已修复版本 0.4.0

描述 Hex包管理器hex_core版本0.3.0及更早版本包含一个签名预言机漏洞,存在于软件包注册表验证过程中,可导致软件包修改未被检测,从而允许代码执行。此攻击似乎可通过受害者从恶意/被入侵的镜像获取软件包来利用。该漏洞似乎在0.4.0版本中已修复。

参考

发布日期

  • 国家漏洞数据库 (NVD): 2019年2月4日
  • GitHub咨询数据库: 2022年5月13日
  • 最后更新: 2024年5月2日
  • 审核日期: 2024年5月2日

严重程度

CVSS总体评分 8.8 / 10

CVSS v3 基础指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 需要 (R)
  • 影响范围 (S): 未改变 (U)
  • 机密性影响 (C): 高 (H)
  • 完整性影响 (I): 高 (H)
  • 可用性影响 (A): 高 (H)

CVSS向量字符串: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

EPSS 评分 0.233% (第46百分位)

缺陷

  • 缺陷 (CWE): CWE-345
  • 描述: 数据真实性验证不足。产品未能充分验证数据的来源或真实性,导致其接受无效数据。

标识符

  • CVE ID: CVE-2019-1000013
  • GHSA ID: GHSA-q3cc-rr2c-87r6

源代码

  • hexpm/hex_core

致谢

  • 分析师: maennchen

注意: Dependabot警报在此咨询涉及的某些或所有生态系统中不受支持。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次