Packistry — это автономный репозиторий Composer, предназначенный для распространения пакетов PHP. До версии 0.13.0 RepositoryAwareController::authorize() проверял наличие и работоспособность токена, но не обеспечивал истечение срока действия токена. В результате токен развертывания с истекшим сроком действия и правильной способностью все равно может получить доступ к конечным точкам репозитория (например, метаданным Composer/API загрузки).
Исправление в версии 0.13.0 добавляет явную проверку срока действия, и теперь тесты проверяют токены развертывания с истекшим сроком действия, чтобы убедиться, что они отклонены.
Показать оригинальное описание (EN)
Packistry is a self-hosted Composer repository designed to handle PHP package distribution. Prior to version 0.13.0, RepositoryAwareController::authorize() verified token presence and ability, but did not enforce token expiration. As a result, an expired deploy token with the correct ability could still access repository endpoints (e.g., Composer metadata/download APIs). The fix in version 0.13.0 adds an explicit expiration check, and tests now test expired deploy tokens to ensure they are rejected.
Характеристики атаки
Последствия
Строка CVSS v3.1