Edonsec

**Nome do software vulnerável e versões afetadas** Versões do Composer anteriores à 2.7.0 Versões do Composer anteriores à 2.2.23 **Descrição** A vulnerabilidade está relacionada à inclusão de funções provenientes de uma área controlada não confiável no gerenciador de dependências Composer para PHP. Sob certas condições, a execução de código arbitrário pode levar à escalada de privilégios locais, permitir o movimento lateral de usuários ou a execução de código malicioso quando o Composer é invocado dentro de um diretório com arquivos adulterados. Todos os comandos da CLI do Composer são afetados, incluindo a autoatualização do composer.phar. Cenários de alto risco incluem a execução do Composer com o sudo, pipelines que executam o Composer em projetos não confiáveis e ambientes compartilhados com desenvolvedores executando o Composer individualmente no mesmo projeto. **Recomendações** Para versões anteriores à 2.7.0 e 2.2.23, atualize para a versão 2.7.0 ou 2.2.23 para corrigir a vulnerabilidade. Quando a atualização não for possível, remova todos os privilégios do `sudo composer` para todos os usuários a fim de mitigar a escalada de privilégios de root. Evite executar o Composer em um diretório não confiável ou verifique se o conteúdo de `vendor/composer/InstalledVersions.php` e `vendor/composer/installed.php` não inclui código não confiável. Também é possível reiniciar esses arquivos executando os seguintes comandos: rm vendor/composer/installed.php vendor/composer/InstalledVersions.php composer install --no-scripts --no-plugins