Los mantenedores de Packagist, el repositorio de paquetes más grande del ecosistema de PHP, han solucionado una vulnerabilidad crítica en su sitio web oficial que podría haber permitido a un atacante secuestrar su servicio
La falla fue descubierta e informada por el investigador de seguridad Max Justicz.
Según Justicz, el campo de entrada "Enviar paquete" para enviar nuevos paquetes de PHP a través de la página de inicio de Packagist permitió a un atacante ejecutar un comando malicioso en el formato de "$(MALICIOUS_COMMANDS)".
La causa principal de este problema fue que el servicio Packagist esperaba que la entrada fuera una URL para un repositorio de código fuente alojado en un servidor Git, Perforce, Subversion o Mercurial.
Justicz descubrió que Packagist estaba escapando incorrectamente de los caracteres ingresados al realizar comprobaciones para ver si la URL lleva a un repositorio Perforce o Subversion, y estaba ejecutando los comandos maliciosos: una vez para el control Perforce y otra vez para la verificación de Subversion.
Dependiendo del nivel de habilidad de un atacante, uno podría haber secuestrado fácilmente el servidor subyacente Packagist y realizar más acciones intrusivas.
El problema ahora está solucionado, según una publicación de blog publicada por Justicz.
Packagist sirve más de 400 millones de paquetes por mes
Packagist no es un administrador de paquetes, sino solo un host para paquetes PHP. Es el host predeterminado del paquete detrás de Composer, el administrador de paquetes PHP más popular.
Packagist es el servicio de alojamiento de paquetes más grande en el ecosistema de PHP, con más de 435 millones de instalaciones de paquetes informadas solo en julio de 2018.
El equipo de Packagist no respondió una solicitud de comentarios.
Justicz tiene la costumbre de encontrar y reportar fallas en los populares gestores de paquetes de lenguaje de programación y servicios relacionados. Él informó previamente y ayudó a corregir:
- Un error de ejecución remota de código en RubyGems.org , el principal repositorio de paquetes de Ruby (servicio de alojamiento)
- Una falla que permitió a los atacantes eliminar archivos del Python Package Index (PyPI)
- Una ejecución remota de código en un espejo del servicio npmjs.org , el repositorio de paquetes principal del ecosistema de JavaScript
- Un error en Unpkg.com , un popular CDN para npm JavaScript packages
