One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8386239 |
| Date de publication | 2023-09-21 06:15:11 (vue: 2023-09-21 11:06:36) |
| Titre | CVE-2015-8371 |
| Texte | Le compositeur avant 2016-02-10 permet l'intoxication au cache d'autres projets construits sur le même hôte.Il en résulte un code contrôlé par l'attaquant entrant dans un processus de construction côté serveur.Le problème se produit en raison de la façon dont les packages DIST sont mis en cache.La clé de cache est dérivée du nom du package, du type de dist, et de certaines autres données du référentiel de package (qui peut simplement être un hachage de validation, et peut donc être trouvé par un attaquant).Les versions via 1.0.0-alpha11 sont affectées et 1.0.0 n'est pas affectée.
Composer before 2016-02-10 allows cache poisoning from other projects built on the same host. This results in attacker-controlled code entering a server-side build process. The issue occurs because of the way that dist packages are cached. The cache key is derived from the package name, the dist type, and certain other data from the package repository (which may simply be a commit hash, and thus can be found by an attacker). Versions through 1.0.0-alpha11 are affected, and 1.0.0 is unaffected. |
| Envoyé | Oui |
| Condensat | 2015 2016 8371 affected allows alpha11 are attacker because before build built cache cached can certain code commit composer controlled cve data derived dist entering found from hash host issue key may name occurs other package packages poisoning process projects repository results same server side simply through thus type unaffected versions way which |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.