检测

Composer 存储库凭据泄露

high Web App Scanning 插件 ID 113556

语言:

简介

Composer 存储库凭据泄露

描述

Composer 是用于 PHP 中依存关系管理的工具。开发人员可借此工具声明其 Web 应用程序所依赖的库,并为它们进行管理。PHP 程序包可托管在私有 Composer 存储库中,且需要进行身份验证才能与之交互。

当暴露时,攻击者可利用 Composer 私有存储库凭据,获取对此存储库的读写权限,从而导致敏感信息泄露(源代码、潜在的硬编码凭据...)。攻击者还可利用这些凭据破坏私人程序包并向需要的 Web 应用程序提供恶意代码,从而发动供应链攻击。

解决方案

确保未在源代码管理 (SCM) 工具中跟踪该文件。如果仍然需要此文件,则请强制执行适当的权限以避免将其公开泄露。暴露的凭据应视为已受损和已轮换。

另见

https://getcomposer.org/doc/articles/authentication-for-private-packages.md

插件详情

严重性: High

ID: 113556

类型: remote

发布时间: 2023/2/8

最近更新时间: 2023/2/8

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 5.1

CVSS v2

风险因素: High

基本分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: High

Base Score: 8.7

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

参考资料信息