PEAR PHP存储库中存在15年的漏洞可能导致了供应链攻击

PEAR PHP存储库中发现了一个存在15年的安全漏洞，该漏洞可能允许攻击者实施供应链攻击，包括获得未经授权的访问权，以发布恶意软件包并执行任意代码。

SonarSource漏洞研究人员Thomas Chauchefoin在本周发表的一篇文章中说：“攻击者利用第一个漏洞可以接管任何开发人员帐户并发布恶意版本，而第二个漏洞将允许攻击者获得对中央PEAR服务器的持久访问权”。

PEAR是PHP扩展和应用程序存储库的缩写，是可重用PHP组件的框架和分发系统。

2007年3月，当该功能最初实现时，代码提交中引入了一个问题，其中一个问题与密码重置功能中使用加密不安全的mt_rand（）PHP函数有关，该函数允许攻击者“在不到50次尝试中发现有效的密码重置令牌”。

有了这种漏洞，坏人可能会以现有的开发人员或管理员帐户为目标，劫持这些帐户，并发布开发人员已经维护的程序包的新特洛伊木马版本，从而导致广泛的供应链危害。

第二个漏洞要求对手将其与上述漏洞链接，以获得初始访问权限。该漏洞源于pearweb对旧版Archive_Tar的依赖，该版本易受严重性高的目录遍历错误（CVE-2020-36193，CVSS分数：7.5）的影响，导致任意代码执行。

Chauchefoin说：“这些漏洞已经存在了十多年，很难识别和利用，这让人怀疑依赖它的公司缺乏安全保障”。

这些发现标志着PHP供应链在不到一年的时间里第二次发现安全问题。在2021年4月下旬，在作曲家PHP包管理器中泄露了关键漏洞，可以使对手执行任意命令。

随着针对NPM生态系统中广泛使用的库的抗议软件事件发生后，软件供应链攻击成为一种危险的威胁，与软件中的代码依赖性相关的安全问题再次成为人们关注的焦点，促使开源倡议将“开源武器化”称为网络破坏行为，“超过了任何可能的好处”。