Alerta de Vulnerabilidade - Packagist
Foi descoberta uma vulnerabilidade no gestor de pacotes PHP packagist.org.
Um atacante remoto consegue correr comandos através do campo de texto usado para definir URLs de repositórios.
Esta vulnerabilidade surge devido à não sanitização de variáveis fazendo com que os comandos sejam corridos duas vezes numa shell.
Um atacante remoto consegue correr comandos maliciosos através da página do repositório.
A vulnerabilidade já se encontra corrigida[3], devendo o Packagist ser atualizado para a última versão.
Security Affairs:
[1]https://securityaffairs.co/wordpress/75859/hacking/critical-rce-packagist.html
Max Justicz:
[2]https://justi.cz/security/2018/08/28/packagist-org-rce.html
GitHub:
[3]https://github.com/composer/composer/commit/bf125295df9da84c44989e33f9f84b4ed4f8ea56