PEAR PHPリポジトリの15年前のバグにより、サプライチェーン攻撃が可能になる可能性があります – thehackernews.com

15年前のセキュリティの脆弱性がPEARPHPリポジトリに公開されており、攻撃者が不正なパッケージを公開して任意のコードを実行するための不正アクセスを取得するなど、サプライチェーン攻撃を実行する可能性があります。
「最初のアカウントを悪用する攻撃者は、開発者アカウントを乗っ取って悪意のあるリリースを公開する可能性がありますが、2番目のバグにより、攻撃者は中央のPEARサーバーに永続的にアクセスできるようになります」SonarSourceの脆弱性研究者Thomas Chauchefoinは、今週公開された記事で述べています。
2番目の脆弱性は、攻撃者が最初のアクセスを取得するために前述の欠陥と連鎖する必要があるため、重大度の高いディレクトリトラバーサルバグ（CVE-2020-36193、CVSS）の影響を受けやすい古いバージョンのArchiveTarにpearwebが依存していることに起因します。
2021年4月下旬に、Composer PHPパッケージマネージャーに重大な脆弱性が明らかになり、攻撃者が任意のコマンドを実行できるようになりました。