CVE-2021-22568

Dart - Publishing to third-party package repositories may expose pub.dev credentials

CVSS 8.8 HIGHEPSS 0.9%CWE-255

En resumen

Al publicar paquetes Dart en repositorios de terceros, el comando pub publish envía accidentalmente credenciales (tokens OAuth2) destinadas a pub.dev a esos servidores no confiables. Un atacante que controle un repositorio de terceros puede robar estos tokens e suplantar al usuario en pub.dev para publicar paquetes maliciosos.

Detalle técnico

El cliente dart pub no implementa aislamiento adecuado de tokens OAuth2 al publicar en repositorios de terceros, exponiendo credenciales válidas de pub.dev a servidores no confiables. Un atacante controlando un repositorio de terceros puede interceptar estos tokens durante la publicación y usarlos para acceder sin autorización a la cuenta pub.dev del usuario, permitiendo publicación arbitraria de paquetes o compromiso de la cuenta.

Resumen generado y traducido por IA a partir de la descripción oficial.

When using the dart pub publish command to publish a package to a third-party package server, the request would be authenticated with an oauth2 access_token that is valid for publishing on pub.dev. Using these obtained credentials, an attacker can impersonate the user on pub.dev. We recommend upgrading past https://github.com/dart-lang/sdk/commit/d787e78d21e12ec1ef712d229940b1172aafcdf8 or beyond version 2.15.0

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L

Productos afectados

Google LLC · Dart SDK

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/dart-lang/sdk/blob/main/CHANGELOG.md https://github.com/dart-lang/sdk/commit/d787e78d21e12ec1ef712d229940b1172aafcdf8 https://github.com/dart-lang/sdk/security/advisories/GHSA-r32f-vhjp-qhj7