0x01 Composers
Composer是PHP中用来管理依赖(dependency)关系的工具。你可以在自己的项目中声明所依赖的外部工具库(libraries),Composer会帮你安装这些依赖的库文件。
0x02 漏洞描述
4月,Composer修复了一个参数注入漏洞(CVE-2022-24828),该漏洞的CVSS评分为8.8。带有用户控制的$file或$identifier参数的Composer方法VcsDriver::getFileContent()容易受到参数注入漏洞的影响,如果使用Mercurial或Git驱动,则可利用该漏洞执行任意命令。此外,该漏洞也影响了Packagist.org和Private Packagist,并可能导致供应链攻击。
受影响版本:
-
Composer 版本 < 1.10.26
-
2.0 <= Composer 版本 < 2.2.12
-
2.3 <= Composer 版本 < 2.3.5
0x03 漏洞信息
漏洞编号:CVE-2022-24828
漏洞POC:暂无
漏洞EXP:暂无
漏洞危害:高危 命令注入
0x04 解决方案
安全建议:
原文始发于微信公众号(寻云安全团队):【漏洞报送】Composer 命令注入漏洞(CVE-2022-24828)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论