CRITICAL🇬🇧 English

CVE-2025-23215

PMD: hasło klucza podpisującego ujawnione w archiwum JAR na Maven Central

CVSS 9.3v4.0pub. 2025-01-31upd. 2026-04-15

Narzędzie do statycznej analizy kodu PMD oraz PMD Designer opublikowały archiwa JAR na Maven Central zawierające passphrase do kluczy podpisujących wydania. Ze względu na ujawnienie passphrase, klucze prywatne muszą być traktowane jako potencjalnie skompromitowane.

Pokaż oryginał (EN)

PMD is an extensible multilanguage static code analyzer. The passphrase for the PMD and PMD Designer release signing keys are included in jar published to Maven Central. The private key itself is not known to have been compromised itself, but given its passphrase is, it must also be considered potentially compromised. As a mitigation, both compromised keys have been revoked so that no future use of the keys are possible. Note, that the published artifacts in Maven Central under the group id net.sourceforge.pmd are not compromised and the signatures are valid.

🤖 Analiza AI
Jak działa

Passphrase do kluczy GPG służących do podpisywania wydań PMD i PMD Designer zostały dołączone bezpośrednio do archiwów JAR opublikowanych w repozytorium Maven Central (CWE-540: przechowywanie wrażliwych danych w kodzie/artefaktach, CWE-312: przechowywanie danych w postaci niezaszyfrowanej, CWE-200: ujawnienie informacji). Każda osoba pobierająca te archiwa mogła odczytać passphrase i potencjalnie użyć jej do uzyskania dostępu do powiązanego klucza prywatnego. W odpowiedzi na incydent oba klucze zostały odwołane (revoked), uniemożliwiając ich dalsze użycie.

Skutki

Atakujący posiadający dostęp do ujawnionej passphrase mógłby potencjalnie wykorzystać skompromitowany klucz prywatny do podpisywania fałszywych artefaktów, co umożliwiłoby dystrybucję złośliwego oprogramowania podszywającego się pod legalne wydania PMD. Producent zaznacza jednak, że artefakty opublikowane w Maven Central pod grupą net.sourceforge.pmd nie zostały skompromitowane, a ich sygnatury są prawidłowe.

Mitygacja

Oba skompromitowane klucze podpisujące zostały odwołane przez producenta, co uniemożliwia ich dalsze użycie. Należy zweryfikować autentyczność używanych artefaktów PMD oraz zaktualizować konfigurację do wersji korzystających z nowych, bezpiecznych kluczy zgodnie z instrukcjami w oficjalnym security advisory producenta (GHSA-88m4-h43f-wx84). Organizacje stosujące weryfikację sygnatur GPG powinny zaktualizować zaufane klucze w swoich pipeline'ach CI/CD.

Kogo dotyczy

PMD oraz PMD Designer — wersje, których archiwa JAR zawierające passphrase zostały opublikowane na Maven Central; szczegółowe wersje wskazane w referencjach producenta (advisory GHSA-88m4-h43f-wx84)

Uwagi

Producent potwierdził, że artefakty opublikowane w Maven Central pod grupą net.sourceforge.pmd nie zostały bezpośrednio skompromitowane, a ich sygnatury są prawidłowe. Zagrożenie dotyczy głównie integralności łańcucha dostaw (supply chain) — potencjalnej możliwości podpisania złośliwych artefaktów przed odwołaniem kluczy.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Clear
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje