0x01 Composers
Composer是PHP中用来管理依赖(dependency)关系的工具。你可以在自己的项目中声明所依赖的外部工具库(libraries),Composer会帮你安装这些依赖的库文件。
0x02 漏洞描述
4月,Composer修复了一个参数注入漏洞(CVE-2022-24828),该漏洞的CVSS评分为8.8。带有用户控制的$file或$identifier参数的Composer方法VcsDriver::getFileContent()容易受到参数注入漏洞的影响,如果使用Mercurial或Git驱动,则可利用该漏洞执行任意命令。此外,该漏洞也影响了Packagist.org和Private Packagist,并可能导致供应链攻击。
受影响版本:
-
Composer 版本 < 1.10.26
-
2.0 <= Composer 版本 < 2.2.12
-
2.3 <= Composer 版本 < 2.3.5
0x03 漏洞信息
漏洞编号:CVE-2022-24828
漏洞POC:暂无
漏洞EXP:暂无
漏洞危害:高危 命令注入
0x04 解决方案
安全建议:
-
目前该漏洞已经修复,受影响用户可以升级到Composer 1.10.26、2.2.12、2.3.5或更高版本。
-
下载链接:
https://github.com/composer/composer
原文始发于微信公众号(寻云安全团队):【漏洞报送】Composer 命令注入漏洞(CVE-2022-24828)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论