В PHP-репозитории PEAR на протяжении 15 лет существовала уязвимость, которая могла позволить злоумышленникам провести атаку на цепочку поставок, получить возможность публиковать вредоносные пакеты и выполнять произвольный код.Anti-Malware.ru
Тогда, по словам специалистов, киберпреступникам понадобилось бы менее 50 попыток для подбора токена.Anti-Malware.ru
Само собой, такая брешь открывала вектор атак на цепочку поставок с помощью специальных версий пакетов, в которые было бы добавлена функциональность трояна.Anti-Malware.ru
Проблема в этом случае кроется в использовании старой версии Archive_Tar, которую затрагивает дыра под идентификатором CVE-2020-36193 (7,5 балла по шкале CVSS).Anti-Malware.ru