Popüler paket yöneticilerinde, potansiyel olarak kötüye kullanılması durumunda rastgele kod çalıştırmak ve güvenliği ihlal edilmiş makinelerden kaynak kodu dahil olmak üzere hassas bilgilere erişmek için kötüye kullanılabilecek birden fazla güvenlik açığı tespit edildi.
Zafiyetler aşağıdaki paket yöneticilerinde tespit edildi:
- Composer 1.x < 1.10.23 and 2.x < 2.1.9
- Bundler < 2.2.33
- Bower < 1.8.13
- Poetry < 1.1.9
- Yarn < 1.22.13
- pnpm < 6.15.1
- Pip (no fix), and
- Pipenv (no fix)
9 Eylül 2021’de zafiyetlerin açıklamanın ardından Composer, Bundler, Bower, Poetry, Yarn ve Pnpm’deki sorunları gidermek için düzeltmeler yayınlandı ancak Composer, Pip ve Pipenv için herhangi bir güncelleme yayınlanmış değil.
Kaynak: thehackernews.com
