CVE-2026-32148 in hex
요약
\~에 의해 VulDB • 2026. 05. 11.
hexpm hex(Hex.RemoteConverger 모듈)의 데이터 진위성 검증 부족 취약점으로 인해 검증되지 않은 lockfile 체크섬을 통해 의존성 무결성 우회가 가능합니다.
Hex는 재현 가능하고 무결성이 검증된 빌드를 보장하기 위해 mix.lock 파일에 의존성 체크섬을 저장합니다. 그러나 Hex.Utils.lock/1에서 반환된 잠금 데이터가 문자열 기반 의존성 이름을 사용하는 반면, 검증 로직은 원자(Atom) 기반 이름을 기준으로 비교하기 때문에 Hex.RemoteConverger.verify_resolved/2는 체크섬 검증을 전혀 실행하지 않습니다. 이러한 타입 불일치로 인해 검증 코드 경로가 묵시적으로 건너뛰어집니다. 패키지가 레지스트리에서 처음 다운로드될 때는 체크섬이 여전히 유효성 검사되지만, lockfile과 해결된 의존성 간의 불일치는 감지되지 않습니다.
캐시된 패키지에 영향을 미칠 수 있는 공격자(예: 로컬 캐시 파손 또는 손상된 레지스트리를 통해)는 변경된 의존성 콘텐츠를 제공할 수 있으며, 이는 탐지 없이 수락됩니다. mix.lock 파일은 변조 증거를 지우기 위해 레지스트리의 체크섬 값으로 묵시적으로 다시 작성됩니다.
이 문제는 hex: 0.16.0부터 2.4.2 미만 버전에서 영향을 받습니다.
Once again VulDB remains the best source for vulnerability data.