Vulnerabilidad en el paquete PHP Composer podría permitir ataques

  • 0 Respuestas
  • 263 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1184
  • Actividad:
    100%
  • Country: 00
  • Reputación 22
    • Ver Perfil
    • Email


Vulnerabilidad en el paquete PHP Composer podría permitir ataques a la cadena de suministro

El paquete PHP Composer Vulnerability Composer se destaca por administrar las dependencias de software en el ecosistema PHP. Debido a su uso generalizado, cualquier falla de seguridad en este paquete puede tener ataques devastadores.

Una de esas vulnerabilidades en PHP Composer llamó la atención de los investigadores de SonarSource. Específicamente, encontraron una vulnerabilidad de ejecución de código en el servidor de Packagist.org que existía debido a una desinfección incorrecta de URL.
Por lo tanto, explotar esta falla con una URL creada con fines malintencionados permitiría a un adversario robar las credenciales de los mantenedores de paquetes o redirigir las descargas de paquetes a servidores maliciosos externos.
 
Como se describe en la descripción de la vulnerabilidad para esta falla, CVE-2021-29472:

Las URL de los repositorios de Mercurial en la raíz composer.json y las URL de descarga de la fuente del paquete no se desinfectan correctamente.
 Los valores de URL específicamente diseñados permiten que el código se ejecute en HgDriver si hg / Mercurial está instalado en el sistema. El impacto para los usuarios de Composer directamente es limitado ya que el archivo composer.json generalmente está bajo su propio control y las URL de descarga de origen solo pueden ser proporcionadas por repositorios de Composer de terceros, en los que confían explícitamente para descargar y ejecutar el código fuente, Ej. Complementos de compositor. El principal impacto es en los servicios que pasan la entrada del usuario a Composer, incluidos Packagist.org y Private Packagist. Esto permitió a los usuarios activar la ejecución remota de código.

 
SonarSource ha compartido todos los detalles técnicos de esta vulnerabilidad en su publicación de blog:

https://blog.sonarsource.com/php-supply-chain-attack-on-composer

Lanzamiento del Parche

Después de descubrir este error, los investigadores se comunicaron con los encargados de mantenimiento de Composer en Packagist para informar el error.
En consecuencia, los encargados del mantenimiento implementaron rápidamente una revisión el mismo día, seguida de un parche completo después de unos días.

 Actualmente, Packagist ha confirmado Composer 1.10.22 y 2.0.13 como las versiones parcheadas disponibles en GitHub.
 
Si bien los usuarios pueden actualizar a las versiones parcheadas, Packagist también recomienda agregar validación de URL para mejorar la seguridad.

Fuente:
Latest Hacking News
https://latesthackingnews.com/2021/05/03/vulnerability-in-php-composer-package-could-allow-supply-chain-attacks/

--------------------------------------------------------------
Una frase para inspirarle:

"Deje de quejarse, deje de desear, empiece a trabajar"