CVE-2019-1000013:Hex签名包真实性未验证漏洞
漏洞概述
包管理器:erlang hex_core (Erlang) 受影响版本:< 0.4.0 已修复版本:0.4.0 严重等级:高危(CVSS评分:8.8)
漏洞描述
Hex包管理器hex_core 0.3.0及更早版本存在签名验证漏洞,具体表现为包注册表验证过程中未充分验证签名包的真实性。该漏洞可能导致:
- 软件包被篡改而无法被检测
- 攻击者可实现代码执行
- 攻击途径:受害者从恶意/被劫持的镜像获取软件包
技术细节
漏洞类型
CWE-345:数据真实性验证不足
产品未能充分验证数据的来源或真实性,导致其接受无效数据。
攻击向量
- 攻击途径:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
修复方案
该漏洞已在hex_core 0.4.0版本中修复。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2019-1000013
- hexpm/hex_core#48
- hexpm/hex_core#51
时间线
- NVD发布:2019年2月4日
- GitHub咨询数据库发布:2022年5月13日
- 最后更新:2024年5月2日
安全评分
EPSS评分:0.233%(第46百分位) 此分数估计了该漏洞在未来30天内被利用的概率。