CVE-2024-38367— CocoaPods 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-38367の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
CoacoaPods trunk sessions verification step could be manipulated for owner session hijacking
ソース: NVD (National Vulnerability Database)
脆弱性説明
trunk.cocoapods.org is the authentication server for the CoacoaPods dependency manager. Prior to commit d4fa66f49cedab449af9a56a21ab40697b9f7b97, the trunk sessions verification step could be manipulated for owner session hijacking Compromising a victim’s session will result in a full takeover of the CocoaPods trunk account. The threat actor could manipulate their pod specifications, disrupt the distribution of legitimate libraries, or cause widespread disruption within the CocoaPods ecosystem. This was patched server-side with commit d4fa66f49cedab449af9a56a21ab40697b9f7b97 in October 2023.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对错误会话暴露数据元素
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
CocoaPods 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
CocoaPods是CocoaPods开源的一个 Cocoa 依赖关系管理器。 CocoaPods存在安全漏洞,该漏洞源于存在会话劫持,导致攻击者可以破坏合法库的分发。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2024-38367の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-38367のインテリジェンス情報
请登录查看更多情报信息。
- https://blog.cocoapods.org/CocoaPods-Trunk-RCEs-2023x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2024-38367
Same Patch Batch · CocoaPods · 2024-07-01 · 3 CVEs total
| CVE-2024-38366 | 10.0 CRITICAL | CoacoaPods trunk RCE in email verification system rfc-822 |
| CVE-2024-38368 | 9.3 CRITICAL | Trunk's 'Claim your pod' could be used to obtain un-used pods |
IV. 関連脆弱性
同じ弱点: CWE-488
- CVE-2026-34391
Fleet Vulnerable to Windows MDM cross-device command disclos - CVE-2026-23919
Insufficient isolation of JavaScript (Duktape) execution con - CVE-2026-27492
Lettermint Node.js SDK leaks email properties to unintended - CVE-2026-23844
Whisper Money has IDOR Vulnerability on sync/balances endpoi - CVE-2026-23646
OpenProject users can delete other user's session, causing t
V. CVE-2024-38367へのコメント
まだコメントはありません