Los investigadores han revelado detalles sobre una falla de seguridad de alta gravedad ahora parcheada en Packagist, un repositorio de paquetes de software PHP, que podr\u00eda haberse aprovechado para montar ataques a la cadena de suministro de software.<\/p>\n
“Esta vulnerabilidad permite hacerse con el control de empaquetador<\/a>investigador de SonarSource Thomas Chauchefoin dijo<\/a> en un informe compartido con The Hacker News. Packagist es utilizado por Composer, el administrador de paquetes de PHP, para determinar y descargar dependencias de software que los desarrolladores incluyen en sus proyectos.<\/p>\n La divulgaci\u00f3n se produce cuando la plantaci\u00f3n de malware en repositorios de c\u00f3digo abierto se est\u00e1 convirtiendo en un conducto atractivo para montar ataques a la cadena de suministro de software.<\/p>\n rastreado como CVE-2022-24828<\/a> (puntaje CVSS: 8.8), el tema<\/a> se ha descrito como un caso de inyecci\u00f3n de comandos y est\u00e1 vinculado a otro error similar de Composer (CVE-2021-29472) que sali\u00f3 a la luz en abril de 2021, lo que sugiere un parche inadecuado.<\/p>\n “Un atacante que controle un repositorio de Git o Mercurial enumerado expl\u00edcitamente por URL en el archivo de un proyecto compositor.json<\/a> puede usar nombres de rama especialmente dise\u00f1ados para ejecutar comandos en la m\u00e1quina que ejecuta la actualizaci\u00f3n del compositor”, Packagist revelado<\/a> en un aviso de abril de 2022.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n