Des paquets NuGet vulnérables peuvent être utilisés pour cibler la plate-forme .

NET

NuGet est un mécanisme supporté par Microsoft pour la plateforme .NET et fonctionne comme un
gestionnaire de paquets destiné à faciliter le partage de code par les développeurs. Le framework
maintient un référentiel de plus de 264 000 paquets uniques qui ont produit collectivement plus de
109 milliards de téléchargements de paquets.

Une analyse des paquets standard hébergés dans le référentiel NuGet a révélé que 51 composants
logiciels étaient exposés à des vulnérabilités activement exploitées. Tous les composants logiciels
précompilés identifiés dans les recherches étaient des versions différentes de 7Zip, WinSCP et
PuTTYgen, qui sont des logiciels de compression qui sont continuellement mis à jour pour corriger les
failles de sécurité connues. Néanmoins, il arrive que d'autres logiciels soient mis à jour mais
continuent à utiliser des dépendances qui sont anciennes et contiennent des vulnérabilités connues."

Les chercheurs ont déterminé que plus de 50 000 composants logiciels extraits de paquets NuGet
étaient liés statiquement à une version vulnérable de la bibliothèque de compression de données
"zlib" seulement, ce qui les rendait vulnérables à plusieurs problèmes de sécurité connus tels que
CVE-2016-9840, CVE-2016-9841, CVE-2016-9842 et CVE-2016-9843.

Les entreprises qui développent des solutions logicielles devraient et ont besoin d'être conscientes
de ces risques afin de détecter toute falsification et tout problème.

Source :

https://thehackernews.com/2021/07/dozens-of-vulnerable-nuget-packages.html