Composer PHP依赖项管理器命令注入漏洞安全风险通告

admin
admin
admin
108197
文章
90
评论
2024年6月17日08:22:59评论16 views字数 660阅读2分12秒阅读模式
漏洞背景

近日,嘉诚安全监测到Composer中存在一个PHP依赖项管理器命令注入漏洞,漏洞编号为:CVE-2024-35242。

Composer是PHP开发领域中最受欢迎的依赖项管理工具之一,使PHP开发者能够轻松地管理项目中的依赖关系,并确保这些依赖项在不同环境中的一致性和可用性。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞。在版本2.2.24和2.7.7之前的2.x分支上,在具有特制分支名称的git/hg存储库中运行的“composer install”命令可能会导致命令注入。

危害影响

影响范围

2.0 <= Composer < 2.2.24

2.3 <= Composer < 2.7.7

处置建议

官方已发布修复方案,受影响的用户建议更新至安全版本。

参考链接:

https://github.com/composer/composer/security/advisories/GHSA-v9qv-c7wm-wgmf

https://github.com/composer/composer/commit/6bd43dff859c597c09bd03a7e7d6443822d0a396

https://github.com/composer/composer/commit/fc57b93603d7d90b71ca8ec77b1c8a9171fdb467

 

原文始发于微信公众号(嘉诚安全):【漏洞通告】Composer PHP依赖项管理器命令注入漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日08:22:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Composer PHP依赖项管理器命令注入漏洞安全风险通告https://cn-sec.com/archives/2849844.html

发表评论

匿名网友 填写信息