Packagist修補官網的遠端程式執行漏洞

安全研究人員Max Justicz本周披露，Packagist官方網站（packagist.org）存在一遠端程式執行漏洞，將允許駭客挾持該站服務。

Packagist為PHP生態體系中規模最大的套件儲存庫，PHP開發者藉由熱門的套件管理員Composer即可直接安裝存放於Packagist的套件，根據Packagist的估計，從2012年4月迄今，該站的註冊套件數量為19.3萬，套件安裝次數更超過100億次，現在每個月的套件安裝數量已超過40萬。

開發人員於Packagist上提交套件的方式是提供來自Git、Perforce、Subversion或Mercurial等儲存庫的網址，然而，Justicz卻發現Packagist在檢查該網址是否連至Perforce或Subversion時會不當地轉義網址上的參數，而讓駭客得以執行惡意指令。一個高明的駭客可能藉此挾持Packagist伺服器並執行更具破壞力的行動。

幸好Packagist在收到Justicz通知之後已於日前修補了該漏洞。