PHPの拡張機能PEARのインストーラーに、脆弱性があって、任意のファイルをインストールされる可能性があるそうです。

Une vulnerabilite a ete identifiee dans PEAR, elle pourrait etre exploitee par des attaquants afin de contourner les mesures de securite. Ce probleme resulte d'une erreur presente au niveau de la fonction "_installFile()" [Installer.php] qui ne valide pas l'attribut "install-as" (dans un fichier "package.xml" version 1.0) ni la balise "install" (dans un fichier "package.xml" version 2.0), ce qui pourrait etre exploite afin de placer des scripts malicieux dans des repertoires arbitraires ou ecraser des fichiers locaux en incitant un utilisateur a un installer un paquet specialement concu.

関連URL

• Could give an attacker (remote package) unprivileged access to crucial system resources