Podatność w serwerze uwierzytelniającym trunk.cocoapods.org umożliwiała nieautoryzowane przejęcie własności pakietów (pods), które nigdy nie zostały przypisane do właściciela lub zostały pozbawione wszystkich właścicieli. Jest to poważne zagrożenie dla łańcucha dostaw oprogramowania iOS/macOS, ponieważ atakujący mógł przejąć kontrolę nad powszechnie używanymi zależnościami.
▸ Pokaż oryginał (EN)
trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. A vulnerability affected older pods which migrated from the pre-2014 pull request workflow to trunk. If the pods had never been claimed then it was still possible to do so. It was also possible to have all owners removed from a pod, and that made the pod available for the same claiming system. This was patched server-side in commit 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4 in September 2023.
Starsze pakiety zmigrowane przed 2014 rokiem z przepływu pracy opartego na pull requestach do systemu trunk mogły pozostać w stanie nieprzypisanym. Jeśli żaden właściciel nigdy nie zgłosił roszczenia do danego poda, mechanizm claiming nadal pozostawał aktywny i dostępny dla dowolnego użytkownika. Dodatkowo, możliwe było usunięcie wszystkich właścicieli z pakietu, co automatycznie przywracało go do puli dostępnej do przejęcia. Atakujący mógł zatem zgłosić roszczenie do takiego pakietu i uzyskać pełną kontrolę nad jego dystrybucją.
Atakujący mógł przejąć własność popularnych pakietów i opublikować złośliwe aktualizacje, prowadząc do ataku na łańcuch dostaw oprogramowania (supply chain attack) i potencjalnego skompromitowania aplikacji iOS/macOS korzystających z zainfekowanych zależności.
Podatność została naprawiona po stronie serwera w commicie 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4 we wrześniu 2023 roku. Właściciele pakietów CocoaPods powinni upewnić się, że ich pods mają przypisanego co najmniej jednego aktualnego właściciela. Zaleca się przegląd posiadanych pakietów zgodnie z wytycznymi dostępnymi pod adresem blog.cocoapods.org/Claim-Your-Pods
Serwer trunk.cocoapods.org — dotyczy pakietów (pods) zmigrowanych ze starszego przepływu pracy (sprzed 2014 roku), które nigdy nie zostały zgłoszone przez właściciela lub które utraciły wszystkich właścicieli
Poprawka została wdrożona po stronie serwera we wrześniu 2023 roku (commit 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4), natomiast CVE zostało opublikowane w lipcu 2024 roku. Podatność zgłoszona przez badaczy z EVASec, co wynika z referencji do ich bloga.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:LCocoapods Trunk.cocoapods.org
APPCocoapods< 2023-09-22
Powiązane podatności
RCE z uprawnieniami root w serwerze trunk.cocoapods.org
trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. Prior to commit d4fa66...
The package cocoapods-downloader before 1.6.2 are vulnerable to Command Injection via hg argument injection. W...
The package cocoapods-downloader before 1.6.0, from 1.6.2 and before 1.6.3 are vulnerable to Command Injection...