CVE-2024-38366

Nome do software vulnerável e versões afetadas:

CocoaPods (versões afetadas não especificadas)

Descrição:

A vulnerabilidade diz respeito ao gerenciador de dependências CocoaPods, especificamente ao servidor de autenticação trunk.cocoapods.org. Foi identificado um problema na parte do trunk que verifica se um usuário possui um endereço de e-mail válido no momento do cadastro. Ela utilizava uma biblioteca rfc-822 que executa um comando shell para validar a validade dos registros MX do domínio de e-mail por meio de uma consulta DNS MX. Essa pesquisa poderia ser manipulada para executar um comando no servidor trunk, concedendo acesso root ao servidor e à infraestrutura. A vulnerabilidade foi corrigida no lado do servidor em setembro de 2023 e provocou uma reinicialização completa da sessão do usuário, já que um invasor poderia ter usado esse método para gravar em qualquer Podspec no trunk.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.