CVE-2024-38368

Nome do software vulnerável e versões afetadas:

CocoaPods (versões afetadas não especificadas)

Descrição:

O problema está relacionado ao gerenciador de dependências CocoaPods, afetando especificamente pods mais antigos que migraram do fluxo de trabalho de pull requests anterior a 2014 para o trunk. Se um pod nunca tivesse sido reivindicado, ainda era possível fazê-lo, e também era possível remover todos os proprietários de um pod, tornando-o disponível para reivindicação. Essa vulnerabilidade poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas sobre alguns pods, modificasse seu conteúdo ou o substituísse por código arbitrário. O número estimado de dispositivos potencialmente afetados não é explicitamente declarado, mas é mencionado que milhares de aplicativos iOS e macOS poderiam ser impactados.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.