Vulnerabilidad en Composer (CVE-2015-8371)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

21/09/2023

Última modificación:

29/09/2023

Descripción

Composer anterior al 10 de febrero de 2016 permite el envenenamiento de la caché de otros proyectos creados en el mismo host. Esto da como resultado que el código controlado por el atacante ingrese a un proceso de compilación del lado del servidor. El problema se debe a la forma en que se almacenan en caché los paquetes dist. La clave de caché se deriva del nombre del paquete, el tipo de dist y algunos otros datos del repositorio de paquetes (que pueden ser simplemente un hash de confirmación y, por lo tanto, un atacante puede encontrarlos). Las versiones hasta 1.0.0-alpha11 se ven afectadas y la 1.0.0 no.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:getcomposer:composer:1.0.0:alpha1::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha10::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha11::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha2::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha3::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha4::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha5::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha6::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha7::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha8::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha9::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:getcomposer:composer:1.0.0:alpha1::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha10::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha11::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha2::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha3::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha4::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha5::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha6::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha7::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha8::::::
cpe:2.3:a:getcomposer:composer:1.0.0:alpha9::::::

Vulnerabilidad en Composer (CVE-2015-8371)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información