概要
Hex.pm(hexpm)は Elixir / Erlang エコシステム の パッケージ マネージャ で ある Hex の レジストリ サーバー です。パスワード リセット 機能 に おいて、発行 された リセット トークン に 有効期限 が 設定 されて いない 脆弱性 が 存在 します。
CWE-613(セッション 期限切れ 不十分)に 分類 される この 問題 に より、過去 に 送信 された パスワード リセット メール が 漏洩 した 場合、攻撃者 は その メール に 含まれる トークン を 使用 して いつ でも 対象 アカウント の パスワード を リセット し、アカウント を 乗っ取る こと が 可能 です。
パッケージ レジストリ の アカウント が 侵害 される と、悪意 ある パッケージ の 公開 に つながる サプライチェーン 攻撃 の リスク も 生じます。hexpm を セルフ ホスト して いる 環境 で は、速やか に 修正 コミット を 適用 して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-613 (セッション期限切れ不十分) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| hexpm | hexpm | 修正コミット bb0e4209 より前 |
修正バージョンと回避策
- 修正: commit bb0e42091995945deef10556f58d046a52eb7884 を 適用 する
- 暫定回避策: パスワード リセット メール の 送信 を 一時的 に 無効化 し、管理者 に よる 手動 リセット に 切り替える。また、過去 に 発行 された 未使用 トークン を データベース から 無効化 する こと を 推奨 します
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。