Hex包管理器hex_core签名验证漏洞深度解析

本文详细分析了CVE-2019-1000013漏洞,该漏洞存在于Hex包管理器hex_core 0.3.0及更早版本中,由于未验证签名包的真实性,攻击者可通过恶意镜像执行代码。漏洞已在0.4.0版本中修复。

Hex authenticity of signed packages not validated · CVE-2019-1000013

严重程度:高危 GitHub 已审核

发布日期: 2022年5月13日(至GitHub安全公告数据库) 最后更新: 2024年5月2日

受影响软件包:

  • erlang / hex_core (Erlang)

受影响版本: < 0.4.0 已修复版本: 0.4.0

漏洞描述

Hex包管理器 hex_core 的 0.3.0 及更早版本存在一个 签名预言机 漏洞,位于软件包注册表验证机制中。该漏洞可导致 软件包修改未被检测,从而允许攻击者执行任意代码。

攻击场景: 当受害者从恶意或被入侵的镜像源获取软件包时,此漏洞可能被利用。

修复情况: 此漏洞已在 0.4.0 版本中修复。

参考链接

由国家漏洞数据库发布: 2019年2月4日 由GitHub安全公告数据库发布: 2022年5月13日 审核时间: 2024年5月2日

严重性评分

CVSS 总体评分:8.8(高危)

此评分基于通用漏洞评分系统(CVSS),范围从0到10,用于计算漏洞的整体严重性。

CVSS v3 基础指标:

  • 攻击向量: 网络
  • 攻击复杂度:
  • 所需权限:
  • 用户交互: 需要
  • 影响范围: 未改变
  • 机密性影响:
  • 完整性影响:
  • 可用性影响:

CVSS向量字符串: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

EPSS 评分:0.233% 此评分估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。(位于第46百分位)

安全弱点

弱点标识:CWE-345

描述:数据真实性验证不足 产品未能充分验证数据的来源或真实性,导致其接受无效数据。可在MITRE了解更多信息。

标识符

  • CVE ID: CVE-2019-1000013
  • GHSA ID: GHSA-q3cc-rr2c-87r6

源代码

  • hexpm/hex_core

致谢

分析师: maennchen

说明: 此公告所涉及的部分或全部生态系统不支持Dependabot警报。请查阅GitHub语言支持以了解更多信息。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次