Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidade - Packagist

tipo Vulnerabilidades
Sistemas afetadosPackagist
Ecossistema Aplicações

Descrição

Foi descoberta uma vulnerabilidade no gestor de pacotes PHP packagist.org.
Um atacante remoto consegue correr comandos através do campo de texto usado para definir URLs de repositórios.
Esta vulnerabilidade surge devido à não sanitização de variáveis fazendo com que os comandos sejam corridos duas vezes numa shell.

impacto

Um atacante remoto consegue correr comandos maliciosos através da página do repositório.

Resolução

A vulnerabilidade já se encontra corrigida[3], devendo o Packagist ser atualizado para a última versão.

Referências

Security Affairs:
[1]https://securityaffairs.co/wordpress/75859/hacking/critical-rce-packagist.html

Max Justicz:
[2]https://justi.cz/security/2018/08/28/packagist-org-rce.html

GitHub:
[3]https://github.com/composer/composer/commit/bf125295df9da84c44989e33f9f84b4ed4f8ea56