CVE-2026-32148 in hex
Zusammenfassung
von VulDB • 22.05.2026
Insufficient Verification of Data Authenticity (Unzureichende Überprüfung der Datenauthentizität) Schwachstelle in hexpm hex (Hex.RemoteConverger-Modul) ermöglicht das Umgehen der Abhängigkeitsintegrität (Dependency Integrity Bypass) über nicht verifizierte Lockfile-Prüfsummen.
Hex speichert Prüfsummen für Abhängigkeiten in der mix.lock-Datei, um reproduzierbare und integritätsgeprüfte Builds sicherzustellen. Hex.RemoteConverger.verify_resolved/2 führt jedoch niemals eine Prüfsummenüberprüfung durch, da die von Hex.Utils.lock/1 zurückgegebenen Lock-Daten stringbasierte Abhängigkeitsnamen verwenden, während die Verifizierungslogik gegen atom-basierte Namen vergleicht. Dieser Typenkonflikt führt dazu, dass der Verifizierungscodepfad stillschweigend übersprungen wird. Prüfsummen werden zwar weiterhin validiert, wenn Pakete ursprünglich vom Registry heruntergeladen werden, jedoch werden Diskrepanzen zwischen der Lockfile und den aufgelösten Abhängigkeiten nicht erkannt.
Ein Angreifer, der zwischengespeicherte Pakete beeinflussen kann (z. B. durch Local Cache Poisoning oder eine kompromittierte Registry), kann modifizierte Abhängigkeitsinhalte bereitstellen, die ohne Entdeckung akzeptiert werden. Die mix.lock-Datei wird stillschweigend mit den Prüfsummenwerten aus der Registry überschrieben, wodurch Beweise für Manipulationen gelöscht werden.
Dieses Problem betrifft hex: von 0.16.0 bis vor 2.4.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.