Katalog CVE

CVE-2026-49135

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

CodexBar w wersjach przed 0.32.0 zawiera podatność na niebezpieczne zarządzanie plikami tymczasowymi, co pozwala lokalnym atakującym na dostęp do wrażliwych danych uwierzytelniających lub manipulację artefaktami budowy. Wykorzystując przewidywalne ścieżki plików w procesie notaryzacji wydania, atakujący mogą przejąć kontrolę nad danymi.

Ocena ryzyka

Organizacja narażona jest na ryzyko ujawnienia kluczy API oraz manipulacji danymi przed ich przesłaniem, co może prowadzić do poważnych naruszeń bezpieczeństwa. Atakujący z dostępem do tego samego hosta mogą łatwo wykorzystać tę podatność.

Rekomendacja

Zaleca się aktualizację CodexBar do wersji 0.32.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć środki zabezpieczające dotyczące zarządzania plikami tymczasowymi oraz monitorować dostęp do wrażliwych danych.

Oryginalny opis (angielski, źródło NVD)

CodexBar prior to 0.32.0 contains an insecure temporary file handling vulnerability that allows local attackers to access sensitive credentials or tamper with build artifacts by exploiting predictable file paths in the release notarization workflow. Attackers with access to the same host can read the App Store Connect API key written to a fixed path, pre-create files or symbolic links at predictable locations to redirect writes to attacker-controlled destinations, or tamper with notarization archives before submission.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS