Paul Fleischer

**Nome do Software Vulnerável e Versões Afetadas** hex versões 0.16.0 até 2.4.1 **Descrição** A Verificação Insuficiente de Autenticidade de Dados no módulo `Hex.RemoteConverger` permite a violação da integridade de dependências. A função `Hex.RemoteConverger.verify resolved/2` não executa a verificação de checksum devido a uma incompatibilidade de tipos: `Hex.Utils.lock/1` retorna nomes de dependências baseados em strings, enquanto a lógica de verificação espera nomes baseados em átomos. Isso faz com que o processo de verificação seja silenciosamente ignorado. Embora os checksums sejam validados durante o download inicial do registro, discrepâncias entre o arquivo de lock e as dependências resolvidas não são detectadas. Um invasor capaz de influenciar pacotes em cache, como por meio de envenenamento de cache local ou um registro comprometido, poderia fornecer conteúdos de dependência modificados que seriam aceitos sem detecção, pois o arquivo `mix.lock` é silenciosamente atualizado com os checksums do registro. **Recomendações** Atualize para a versão 2.4.2.