1. Главная
  2. Новости
  3. В PEAR исправлен баг 15-летней давности

В PEAR исправлен баг 15-летней давности

В PEAR исправлен баг 15-летней давности

В PEAR (сокращение от PHP Extension and Application Repository) обнаружена уязвимость 15-летней давности, которая позволяла осуществлять атаки на цепочку поставок, включая получение доступа для публикации мошеннических пакетов и выполнение произвольного кода, пишет Хакер.

О старой-новой проблеме рассказал Томас Шошфуан (Thomas Chauchefoin) из SonarSource. По его словам, ошибка появилась в коде еще в 2007 года и была связана с использованием криптографически небезопасной функции mt_rand() в функции сброса пароля, что помогало атакующему «обнаружить действительный пароль и сбросить токен менее чем за 50 попыток».

«Атакующий, использующий первый баг, мог получить доступ к любой учетной записи разработчика и опубликовать вредоносный релиз, тогда как второй баг позволял получить постоянный доступ к центральному серверу PEAR», — пишет эксперт.

Вооруженный эксплоитом, злоумышленник мог атаковать существующие учетные записи разработчиков или администраторов, чтобы захватить контроль над ними, а затем опубликовать новые и опасные версии пакетов, что привело бы к масштабной компрометации цепочки поставок.

Вторая уязвимость, о которой упоминает специалист, должна использоваться в сочетании с первой проблемой для получения начального доступа. Баг связан с тем, что pearweb полагается на старую версию Archive_Tar, которая подвержена проблеме обхода каталога (CVE-2020-36193), что может вести к удаленному выполнению произвольного кода.

 «Эти уязвимости существовали более десяти лет, и их было легко найти и использовать, что вызывает вопросы о недостаточном вкладе в безопасность со стороны компаний, полагающихся на эти решения», — резюмирует Шошфуан.

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Microsoft предупредила о росте кроссплатформенных инфостилеров на macOS
Microsoft предупредила о росте кроссплатформенных инфостилеров на macOS

Эксперты Microsoft зафиксировали активное распространение нового поколения инфостилеров, которые все чаще нацеливаются на macOS и используют Python-скрипты, а также легитимные облачные и разработческие платформы для маскировки своей активности.

подробнее Стрелочка
Открыт прием документов на соискание Премии за достижения в области цифровой трансформации организаций CDO / CDTO AWARDS 2026
Открыт прием документов на соискание Премии за достижения в области цифровой трансформации организаций CDO / CDTO AWARDS 2026

До 7 апреля 2026 года открыт приём заявок на Премию CDO / CDTO Awards 2026, которая проводится в рамках VII Российского Саммита и Премии по цифровой трансформации организаций CDO / CDTO Summit & Awards 2026 – одного из ключевых событий в сфере цифровой трансформации бизнеса и государственного управления в России.

подробнее Стрелочка
Хакеры взламывают Nginx-серверы для перехвата и перенаправления пользовательского трафика
Хакеры взламывают Nginx-серверы для перехвата и перенаправления пользовательского трафика

Эксперты зафиксировали новую волну атак, в рамках которых злоумышленники получают доступ к серверам на базе Nginx и используют их для перенаправления пользовательского трафика на вредоносные ресурсы.

подробнее Стрелочка
Большинство организаций, планирующих создать SOC, считают необходимым внедрение ИИ
Большинство организаций, планирующих создать SOC, считают необходимым внедрение ИИ

Практически все организации в мире, которые планируют строить центры мониторинга кибербезопасности — полностью сами или частично с помощью подрядчиков, намерены внедрять в них искусственный интеллект.

подробнее Стрелочка