Packagist PHP 存储库中的漏洞及其供应链攻击风险

主要重点

根据 The Hacker News 的报导，攻击者可能利用 Packagist PHP 软体封装库中已修补的漏洞来促进供应链攻击。根据 SonarSource 的报告，利用这一命令注入漏洞CVE202224828可使攻击者劫持包更新请求，并在后端伺服器上执行任意命令，以便传递恶意依赖。SonarSource 研究员 Thomas Chauchefoin 指出：如果后端服务被攻击者危害，他们可以迫使用户在进行全新安装或更新 Composer 包时下载后门软体依赖。

漏洞资讯详细信息CVECVE202224828漏洞类型命令注入已修补版本Composer 11026 2212 235攻击影响劫持包更新请求，执行任意命令

Chauchefoin 强调：虽然供应链可以有不同的形式，但其中一种影响特别显著：透过获得对分发这些第三方软体元件的伺服器的访问，攻击者可以改变这些元件，从而在用户的系统中获取立足点。这一警告提醒开发者和用户密切关注安全漏洞的更新，确保他们所使用的软体套件是安全的。不断更新和修补漏洞是防范这类攻击的重要步骤。