Разработчики менеджера PHP-пакетов Composer, устранили критическую уязвимость, которая могла использоваться для выполнения произвольных команд и оснащения бэкдором каждого PHP-пакета, что привело бы к атаками на цепочку поставок.
Уязвимость получила идентификатор CVE-2021-29472 и была обнаружена 22 апреля 2021 года исследователями из компании SonarSource. Менее чем через 12 часов было представлено исправление для этого бага.
«Устранена уязвимость внедрения команд в HgDriver/HgDownloader, а также усилены другие драйверы и загрузчики VCS, — сообщают разработчики Composer в примечаниях к версиям 2.0.13 и 1.10.22, опубликованным в среду. — Насколько нам известно, уязвимость не использовалась хакерами».
Согласно данным специалистов SonarSource, уязвимость связана с тем, как обрабатываются URL-адреса загрузки исходных пакетов, что потенциально может привести к запуску удаленной инъекции команд.
«Уязвимость в таком центральном компоненте, который в месяц обслуживает более 100 000 000 запросов метаданных пакетов, имеет огромное влияние, поскольку такая уязвимость может использоваться для кражи учетных данных разработчиков или для перенаправления загрузки пакетов на сторонние серверы, поставляющих зависимости с бэкдорами», — отмечают в SonarSource.
