Vulnerabilidad en Tophat (CVE-2024-45036)

Tophat es un arnés de prueba de aplicaciones móviles. Una vulnerabilidad de control de acceso inadecuado puede exponer el token `TOPHAT_APP_TOKEN` almacenado en `~/.tophatrc` mediante el uso de una URL Tophat maliciosa controlada por el atacante. La vulnerabilidad permite a Tophat enviar este token al servidor del atacante sin realizar ninguna verificación para garantizar que el servidor sea confiable. Este token se puede utilizar para acceder a artefactos de compilación internos, para aplicaciones móviles, que no están destinadas a ser públicas. El problema se solucionó a partir de la versión 1.10.0. La capacidad de solicitar artefactos mediante una API de Tophat ha quedado obsoleta porque este flujo era inherentemente inseguro. Los sistemas que han implementado este tipo de endpoint deben dejar de utilizarlo e invalidar el token inmediatamente. No existen workarounds y todos los usuarios deben actualizar lo antes posible.