Composer 存放庫憑證洩漏

high Web App Scanning Plugin ID 113556

概要

Composer 存放庫憑證洩漏

說明

Composer 是用於 PHP 中相依性管理的工具。它允許開發人員宣告其 Web 應用程式所依賴的程式庫並進行管理。PHP 套件可託管在私人 Composer 存放庫上,但需要通過驗證才能與之互動。

一旦暴露,Composer 私密存放庫憑證可允許攻擊者取得此存放庫的讀取和寫入存取權,進而導致敏感資訊洩漏 (原始程式碼、潛在的硬式編碼憑證...)。攻擊者也可利用這些憑證入侵私密套件,並將惡意程式碼傳送至需要該憑證的 Web 應用程式,藉此發動供應鏈攻擊。

解決方案

確保未在原始程式碼管理 (SCM) 工具中追蹤該檔案。如果仍需要此檔案,請強制執行適當的權限以避免公開洩漏。對於已暴露的憑證,應視為其已遭入侵且已輪替。

另請參閱

https://getcomposer.org/doc/articles/authentication-for-private-packages.md

Plugin 詳細資訊

嚴重性: High

ID: 113556

類型: remote

已發布: 2023/2/8

已更新: 2023/2/8

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: High

基本分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 評分資料來源: Tenable

參考資訊