漏洞标题
Dart - 将包发布到第三方包仓库可能会泄露 pub.dev 的凭证。
漏洞描述信息
Dart - 发布到第三方包仓库可能会泄露pub.dev的凭证
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:N
漏洞类别
N/A
漏洞标题
Dart - Publishing to third-party package repositories may expose pub.dev credentials
漏洞描述信息
When using the dart pub publish command to publish a package to a third-party package server, the request would be authenticated with an oauth2 access_token that is valid for publishing on pub.dev. Using these obtained credentials, an attacker can impersonate the user on pub.dev. We recommend upgrading past https://github.com/dart-lang/sdk/commit/d787e78d21e12ec1ef712d229940b1172aafcdf8 or beyond version 2.15.0
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L
漏洞类别
凭证管理
漏洞标题
Dart 信任管理问题漏洞
漏洞描述信息
Dart是一款开源的编程语言。 Dart SDK 存在安全漏洞,当使用 dart pub publish 命令将包发布到第三方包服务器时,该请求将使用 oauth2 access_token 进行身份验证,该令牌对于在 pub.dev 上发布有效。使用这些获得的凭据,攻击者可以冒充 pub.dev 上的用户。
CVSS信息
N/A
漏洞类别
信任管理问题