Οι διαχειριστές του Packagist, του μεγαλύτερου χώρου αποθήκευσης πακέτων PHP, αντιμετώπισαν πρόσφατα μια κρίσιμη απομακρυσμένη εκτέλεση κώδικα (remote code execution).
Το Packagist είναι ο προεπιλεγμένος οικοδεσπότης πακέτων πίσω από το Composer και διαθέτει πάνω από 435 εκατομμύρια package installs. Η ευπάθεια ανακαλύφθηκε από τον ερευνητή ασφάλειας Max Justicz, ο οποίος διαπίστωσε ότι το πεδίο εισαγωγής πακέτου “Υποβολή πακέτου” για την υποβολή νέων πακέτων PHP μέσω της αρχικής σελίδας του αποθετηρίου πακέτων, επιτρέπει σε έναν εισβολέα να εκτελέσει μια κακόβουλη εντολή με τη μορφή “$ “.
Ο εμπειρογνώμονας επεσήμανε ότι όταν ένας χρήστης παρέχει μια διεύθυνση URL στο Packagist απομακρύνεται από την είσοδο επιτρέποντας σε έναν κακόβουλο χρήστη να εκτελέσει οποιεσδήποτε εντολές επιθυμεί.
Τέλος, ο Max Justicz προειδοποιεί τους χρήστες για το χαμηλό επίπεδο ασφάλειας που υπάρχει στην υποδομή του Composer γεγονός που θα μπορούσε να ανοίξει τις πόρτες σε μελλοντικές επιθέσεις.
