漏洞标题
N/A
漏洞描述信息
在2016年2月10日之前,Composer允许来自同一主机上其他项目缓存污染的缓存。这导致攻击者控制的代码进入服务器端构建过程。解决这个问题的方法是使用dist包的缓存。缓存键是从包名、dist类型和package仓库中的某些其他数据(这些数据可能仅仅是提交哈希,因此可以被攻击者找到)推导出来的。受影响的版本是1.0.0-alpha11,而1.0.0不受影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
敏感数据的明文传输
漏洞标题
N/A
漏洞描述信息
Composer before 2016-02-10 allows cache poisoning from other projects built on the same host. This results in attacker-controlled code entering a server-side build process. The issue occurs because of the way that dist packages are cached. The cache key is derived from the package name, the dist type, and certain other data from the package repository (which may simply be a commit hash, and thus can be found by an attacker). Versions through 1.0.0-alpha11 are affected, and 1.0.0 is unaffected.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Composer 数据伪造问题漏洞
漏洞描述信息
composer是一个应用软件。提供一个声明,管理和安装PHP项目的依赖项。 Composer 存在安全漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
CVSS信息
N/A
漏洞类别
授权问题