Ir para conteúdo

Alerta de Vulnerabilidade - Packagist

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Packagist
ECOSSISTEMA
Aplicações
Descrição

Foi descoberta uma vulnerabilidade no gestor de pacotes PHP packagist.org.
Um atacante remoto consegue correr comandos através do campo de texto usado para definir URLs de repositórios.
Esta vulnerabilidade surge devido à não sanitização de variáveis fazendo com que os comandos sejam corridos duas vezes numa shell.



Impacto

Um atacante remoto consegue correr comandos maliciosos através da página do repositório.



Rsolução

A vulnerabilidade já se encontra corrigida[3], devendo o Packagist ser atualizado para a última versão.



Referências

Security Affairs:
[1]https://securityaffairs.co/wordpress/75859/hacking/critical-rce-packagist.html

Max Justicz:
[2]https://justi.cz/security/2018/08/28/packagist-org-rce.html

GitHub:
[3]https://github.com/composer/composer/commit/bf125295df9da84c44989e33f9f84b4ed4f8ea56

Última atualização em 13-12-2020