Estas falhas, se exploradas com sucesso, podiam levar à execução de código arbitrário e o acesso a informação sensível, incluindo código fonte e tokens de acesso.

No entanto, a nível de exploração, todas as elas requeriam que o developer abrisse ficheiros malformados ou danificados.

Mas o que são gestores de pacotes?

Essencialmente, são sistemas ou um conjunto de ferramentas usadas para automatizar a instalação, upgrade ou configuração das dependências de terceiras-partes requeridos para desenvolver aplicações

Versões afetadas

Composer 1.x < 1.10.23 e 2.x < 2.1.9

Bundler < 2.2.33

Bower < 1.8.13

Poetry < 1.1.9

Yarn < 1.22.13

pnpm < 6.15.

Solução

Atualizar as versões para cada manager

A mais críticas é uma falha de injeção de código no Composer, que se abusado podia permitir execução de código arbitrário através da inserção de um URL num pacote malicioso já publicado.

Mais informações: https://blog.sonarsource.com/securing-developer-tools-package-managers