Los mantenedores de Composer, un administrador de paquetes para PHP, han enviado una actualización para abordar una vulnerabilidad crítica que podría haber permitido a un atacante ejecutar comandos arbitrarios y "puerta trasera cada paquete PHP", lo que resulta en un ataque de cadena de suministro.
Rastreado como CVE-2021-29472, el problema de seguridad fue descubierto e informado el 22 de abril por investigadores de SonarSource, tras lo cual se desplegó una revisión menos de 12 horas después.
"La vulnerabilidad de inyección de comandos fijos en HgDriver/HgDownloader y endureció otros controladores y descargadores de VCS", dijo Composer en sus notas de lanzamiento para las versiones 2.0.13 y 1.10.22 publicadas el miércoles. "Hasta donde sabemos, la vulnerabilidad no ha sido explotada."
Composer se usa como una herramienta para la gestión de dependencias en PHP, lo que permite una fácil instalación de paquetes relevantes para un proyecto. También permite a los usuarios instalar aplicaciones PHP que están disponibles en Packagist, un repositorio que agrega todos los paquetes PHP públicos instalables con Composer.
Según SonarSource, la vulnerabilidad se deriva de la forma en que se controlan las direcciones URL de descarga de origen de paquetes, lo que podría conducir a un escenario en el que un adversario podría desencadenar la inyección de comandos remotos. Como prueba de este comportamiento, los investigadores aprovecharon el defecto de inyección de argumentos para crear una URL maliciosa del repositorio Mercurial que aprovecha su opción"alias"para ejecutar un comando de shell de la elección del atacante.
"Una vulnerabilidad en un componente central de este tipo, que atiende más de 100 millones de solicitudes de metadatos de paquetes al mes, tiene un gran impacto, ya que este acceso podría haberse utilizado para robar las credenciales de los mantenedores o para redirigir las descargas de paquetes a servidores de terceros que ofrecen dependencias atrasadas", dijo SonarSource.
La firma de seguridad de código con sede en Ginebra dijo que uno de los errores se introdujo en noviembre de 2011, lo que sugiere que el código vulnerable acechaba desde el momento en que comenzó el desarrollo de Composer hace 10 años. La primera versión "alfa" de Composer fue lanzada el 3 de julio de 2013.
"El impacto para los usuarios de Composer directamente está limitado, ya que el archivo composer.json normalmente está bajo su propio control y las URL de descarga de código fuente solo pueden ser suministradas por repositorios de compositores de terceros en los que confían explícitamente para descargar y ejecutar código fuente, por ejemplo, plugins de Composer", dijoJordi Boggiano, uno de los principales desarrolladores detrás de Composer.
