CocoaPods漏洞暴露數百萬Apple應用程式於風險⚠️

E.V.A Information Security揭示CocoaPods的三大漏洞,CVE-2024-38366遠程代碼執行(評分10)、CVE-2024-38368擁有權問題(評分9.3)、CVE-2024-38367會話驗證劫持(評分8.2)。建議開發者檢查代碼依賴性。

新聞摘要:
E.V.A Information Security揭示CocoaPods的三大漏洞,CVE-2024-38366遠程代碼執行(評分10)、CVE-2024-38368擁有權問題(評分9.3)、CVE-2024-38367會話驗證劫持(評分8.2)。建議開發者檢查代碼依賴性。

1. E.V.A Information Security揭示CocoaPods的三大漏洞,其中CVS-2024-38366為遠程代碼執行,評分10/10。
2. CVE-2024-38368為pods擁有權問題,評分9.3,CVE-2024-38367為會話驗證劫持,評分8.2。
3. 2014年遷移至新”Trunk”伺服器,導致許多pods被遺棄或佔用,增加APP風險。
4. E.V.A建議開發者檢查第三方代碼依賴性,檢查孤立的pods以維持APP完整性。

總結:
由於E.V.A Information Security揭示的嚴重漏洞,安裝了超過100,000個庫的三百萬個應用程序,包括Facebook和抖音,面臨潛在的代碼注入風險。開發者需檢查第三方依賴性與孤立的pods,以確保應用程序的安全性和完整性。

新聞來源: Nate Nelson, Contributing Writer.