BDU:2024-05770

Опубликовано: 01 июл. 2024

Источник: fstec

CVSS3: 8.2

CVSS2: 7.3

EPSS Низкий

Описание

Уязвимость менеджера зависимостей для проектов Swift и Objective-C CocoaPods связана с предоставлением элемента данных для ошибочного сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перехватить сессию владельца пода и завладеть чужим trunk-аккаунтом CocoaPods

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

CocoaPods

Версия ПО

до 1.15.2 (CocoaPods)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://blog.cocoapods.org/CocoaPods-Trunk-RCEs-2023/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-38367
CVE

EPSS

Процентиль: 89%

0.04993

Низкий

8.2 High

CVSS3

7.3 High

CVSS2

Связанные уязвимости

CVE-2024-38367

CVSS3: 8.2

nvd

больше 1 года назад

trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. Prior to commit d4fa66f49cedab449af9a56a21ab40697b9f7b97, the trunk sessions verification step could be manipulated for owner session hijacking Compromising a victim’s session will result in a full takeover of the CocoaPods trunk account. The threat actor could manipulate their pod specifications, disrupt the distribution of legitimate libraries, or cause widespread disruption within the CocoaPods ecosystem. This was patched server-side with commit d4fa66f49cedab449af9a56a21ab40697b9f7b97 in October 2023.

EPSS

Процентиль: 89%

0.04993

Низкий

8.2 High

CVSS3

7.3 High

CVSS2