Se ha revelado una vulnerabilidad de seguridad de hace 15 a\u00f1os en el repositorio PHP de PEAR que podr\u00eda permitir a un atacante llevar a cabo un ataque a la cadena de suministro, incluida la obtenci\u00f3n de acceso no autorizado para publicar paquetes no autorizados y ejecutar c\u00f3digo arbitrario.<\/p>\n
“Un atacante que explote el primero podr\u00eda apoderarse de cualquier cuenta de desarrollador y publicar lanzamientos maliciosos, mientras que el segundo error le permitir\u00eda al atacante obtener acceso persistente al servidor PEAR central”, dijo el investigador de vulnerabilidades de SonarSource, Thomas Chauchefoin. dijo<\/a> en un art\u00edculo publicado esta semana.<\/p>\n PEAR, abreviatura de PHP Extension and Application Repository, es un marco y un sistema de distribuci\u00f3n para componentes PHP reutilizables.<\/p>\n Uno de los temas, introducido en un confirmaci\u00f3n de c\u00f3digo<\/a> realizado en marzo de 2007 cuando la funci\u00f3n se implement\u00f3 originalmente, se relaciona con el uso de criptograf\u00eda insegura mt_rand()<\/a> Funci\u00f3n PHP en la funcionalidad de restablecimiento de contrase\u00f1a que podr\u00eda permitir a un atacante “descubrir un token de restablecimiento de contrase\u00f1a v\u00e1lido en menos de 50 intentos”.<\/p>\n Armado con este exploit, un mal actor podr\u00eda apuntar a las cuentas de administrador o desarrollador existentes para secuestrarlas y publicar nuevas versiones troyanizadas de paquetes que ya mantienen los desarrolladores, lo que resultar\u00eda en un compromiso generalizado de la cadena de suministro.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Es-probable-que-TrickBot-Gang-cambie-las-operaciones-para-cambiar.png\")
<\/a><\/div>\n