CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49135

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Summary

CodexBar w wersjach przed 0.32.0 zawiera podatność na niebezpieczne zarządzanie plikami tymczasowymi, co pozwala lokalnym atakującym na dostęp do wrażliwych danych uwierzytelniających lub manipulację artefaktami budowy. Wykorzystując przewidywalne ścieżki plików w procesie notaryzacji wydania, atakujący mogą przejąć kontrolę nad danymi.

Risk Assessment

Organizacja narażona jest na ryzyko ujawnienia kluczy API oraz manipulacji danymi przed ich przesłaniem, co może prowadzić do poważnych naruszeń bezpieczeństwa. Atakujący z dostępem do tego samego hosta mogą łatwo wykorzystać tę podatność.

Recommendation

Zaleca się aktualizację CodexBar do wersji 0.32.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć środki zabezpieczające dotyczące zarządzania plikami tymczasowymi oraz monitorować dostęp do wrażliwych danych.

Original NVD description (English source)

CodexBar prior to 0.32.0 contains an insecure temporary file handling vulnerability that allows local attackers to access sensitive credentials or tamper with build artifacts by exploiting predictable file paths in the release notarization workflow. Attackers with access to the same host can read the App Store Connect API key written to a fixed path, pre-create files or symbolic links at predictable locations to redirect writes to attacker-controlled destinations, or tamper with notarization archives before submission.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS