Vulnerabilidad en CoacoaPods (CVE-2024-38368)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/07/2024
Última modificación:
18/09/2024
Descripción
trunk.cocoapods.org es el servidor de autenticación para el administrador de dependencias de CoacoaPods. Una vulnerabilidad afectó a los pods más antiguos que migraron del flujo de trabajo de solicitud de extracción anterior a 2014 al troncal. Si las cápsulas nunca habían sido reclamadas, todavía era posible hacerlo. También era posible eliminar a todos los propietarios de un grupo, y eso hacía que el grupo estuviera disponible para el mismo sistema de reclamos. Esto se parchó en el lado del servidor en el commit 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4 en septiembre de 2023.
Impacto
Puntuación base 3.x
9.30
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cocoapods:trunk.cocoapods.org:*:*:*:*:ruby:*:*:* | 2023-09-22 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.cocoapods.org/Claim-Your-Pods
- https://blog.cocoapods.org/CocoaPods-Trunk-RCEs-2023
- https://evasec.webflow.io/blog/eva-discovered-supply-chain-vulnerabities-in-cocoapods#1-taking-unauthorized-ownership-over-orphaned-pods
- https://github.com/CocoaPods/CocoaPods/security/advisories/GHSA-j483-qm5c-7hqx
- https://github.com/CocoaPods/trunk.cocoapods.org/commit/71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4