CRITICAL🇬🇧 English

CVE-2024-38368

CocoaPods Trunk: nieautoryzowane przejęcie własności osieroconych pakietów

CVSS 9.3v3.1pub. 2024-07-01upd. 2024-11-21

Podatność w serwerze uwierzytelniającym trunk.cocoapods.org umożliwiała nieautoryzowane przejęcie własności pakietów (pods), które nigdy nie zostały przypisane do właściciela lub zostały pozbawione wszystkich właścicieli. Jest to poważne zagrożenie dla łańcucha dostaw oprogramowania iOS/macOS, ponieważ atakujący mógł przejąć kontrolę nad powszechnie używanymi zależnościami.

Pokaż oryginał (EN)

trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. A vulnerability affected older pods which migrated from the pre-2014 pull request workflow to trunk. If the pods had never been claimed then it was still possible to do so. It was also possible to have all owners removed from a pod, and that made the pod available for the same claiming system. This was patched server-side in commit 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4 in September 2023.

🤖 Analiza AI
Jak działa

Starsze pakiety zmigrowane przed 2014 rokiem z przepływu pracy opartego na pull requestach do systemu trunk mogły pozostać w stanie nieprzypisanym. Jeśli żaden właściciel nigdy nie zgłosił roszczenia do danego poda, mechanizm claiming nadal pozostawał aktywny i dostępny dla dowolnego użytkownika. Dodatkowo, możliwe było usunięcie wszystkich właścicieli z pakietu, co automatycznie przywracało go do puli dostępnej do przejęcia. Atakujący mógł zatem zgłosić roszczenie do takiego pakietu i uzyskać pełną kontrolę nad jego dystrybucją.

Skutki

Atakujący mógł przejąć własność popularnych pakietów i opublikować złośliwe aktualizacje, prowadząc do ataku na łańcuch dostaw oprogramowania (supply chain attack) i potencjalnego skompromitowania aplikacji iOS/macOS korzystających z zainfekowanych zależności.

Mitygacja

Podatność została naprawiona po stronie serwera w commicie 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4 we wrześniu 2023 roku. Właściciele pakietów CocoaPods powinni upewnić się, że ich pods mają przypisanego co najmniej jednego aktualnego właściciela. Zaleca się przegląd posiadanych pakietów zgodnie z wytycznymi dostępnymi pod adresem blog.cocoapods.org/Claim-Your-Pods

Kogo dotyczy

Serwer trunk.cocoapods.org — dotyczy pakietów (pods) zmigrowanych ze starszego przepływu pracy (sprzed 2014 roku), które nigdy nie zostały zgłoszone przez właściciela lub które utraciły wszystkich właścicieli

Uwagi

Poprawka została wdrożona po stronie serwera we wrześniu 2023 roku (commit 71be5440906b6bdfbc0bcc7f8a9fec33367ea0f4), natomiast CVE zostało opublikowane w lipcu 2024 roku. Podatność zgłoszona przez badaczy z EVASec, co wynika z referencji do ich bloga.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:L
  • Cocoapods Trunk.cocoapods.org

    APP
    Cocoapods
    < 2023-09-22
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38366CRITICAL10.0PL ✓ten sam produkt

RCE z uprawnieniami root w serwerze trunk.cocoapods.org

CVE-2024-38367HIGH8.2ten sam produkt

trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. Prior to commit d4fa66...

CVE-2022-21223HIGH8.1ten sam vendor

The package cocoapods-downloader before 1.6.2 are vulnerable to Command Injection via hg argument injection. W...

CVE-2022-24440HIGH8.1ten sam vendor

The package cocoapods-downloader before 1.6.0, from 1.6.2 and before 1.6.3 are vulnerable to Command Injection...

CVE-2024-38368 — CocoaPods Trunk: nieautoryzowane przejęcie własności osieroconych pakietów — CRITICAL 9.3 | CVEbaza.pl