| Title | Minderの認可バイパスにより不正アクセスが可能となる脆弱性 |
|---|---|
| Summary | Minderはソフトウェアサプライチェーンのセキュリティプラットフォームです。バージョン0.0.33より前では、Minderのユーザーがエンドポイント `GetRepositoryByName`、`DeleteRepositoryByName`、`GetArtifactByName` を使用することにより、リポジトリの所有者や権限設定に関係なく、データベース内の任意のリポジトリへアクセスできる脆弱性が存在していました。データベースのクエリではリポジトリの所有者、リポジトリ名、プロバイダー名(常に `github`)をチェックしますが、これらの値は特定ユーザーに固有のものではありません。そのため、ユーザーが有効な認証情報とプロバイダーを持っている場合には、任意の所有者名やリポジトリ名を指定することで、サーバーがそのリポジトリの情報を返してしまいます。この問題はバージョン0.0.33で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 21, 2024, midnight |
| Registration Date | Jan. 6, 2026, 2:45 p.m. |
| Last Update | Jan. 6, 2026, 2:45 p.m. |
| CVSS3.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| lfprojects |
| Minder 0.0.33 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
Jan. 6, 2026, 2:45 p.m. |
| Summary | Minder is a software supply chain security platform. Prior to version 0.0.33, a Minder user can use the endpoints `GetRepositoryByName`, `DeleteRepositoryByName`, and `GetArtifactByName` to access any repository in the database, irrespective of who owns the repo and any permissions present. The database query checks by repo owner, repo name and provider name (which is always `github`). These query values are not distinct for the particular user - as long as the user has valid credentials and a provider, they can set the repo owner/name to any value they want and the server will return information on this repo. Version 0.0.33 contains a patch for this issue. |
|---|---|
| Publication Date | March 21, 2024, 11:52 a.m. |
| Registration Date | March 21, 2024, 4 p.m. |
| Last Update | Nov. 21, 2024, 6:05 p.m. |