描述
Hex包管理器 hex_core 版本 0.3.0 及更早版本包含一个在包注册表验证过程中的签名预言机漏洞。该漏洞可导致包修改行为无法被检测,从而允许代码执行。此攻击可通过受害者从恶意/被入侵的镜像获取包来利用。该漏洞似乎已在 0.4.0 版本中得到修复。
参考资料
- nvd.nist.gov/vuln/detail…
- hexpm/hex_core#48
- hexpm/hex_core#51
严重性
高危
CVSS 总体评分:8.8 / 10
CVSS v3 基础度量
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:不变
- 机密性:高
- 完整性:高
- 可用性:高
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
EPSS 评分
0.233%(第46百分位)
该评分估计了此漏洞在未来30天内被利用的概率。
弱点
- CWE-345:数据真实性验证不足
产品未能充分验证数据的来源或真实性,导致其接受无效数据。
CVE ID:CVE-2019-1000013
GHSA ID:GHSA-q3cc-rr2c-87r6
源代码:hexpm/hex_core
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxfwovKxSfJgwBGeV1OBKepUYllxuYovn42ZD0cjN3UfRg==
