CVE-2020-15145

Composer-Setup para Windows, versões anteriores à 6.0.0

A vulnerabilidade permite que um invasor local explore vários cenários no computador de um desenvolvedor em rede. Um usuário local comum pode modificar o arquivo C:ProgramDataComposerSetupbincomposer.bat existente para obter privilégios elevados de execução de comandos quando o Composer for executado por um administrador. Além disso, um usuário local comum pode criar uma DLL especialmente criada na pasta C:ProgramDataComposerSetupbin para obter privilégios de Sistema Local. O diretório do php.exe selecionado pelo usuário é adicionado ao caminho do sistema sem verificar se ele está protegido por administrador, conforme as diretrizes da Microsoft.

Para versões anteriores à 6.0.0, atualize para a versão 6.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à pasta C:ProgramDataComposerSetupbin para impedir que usuários locais comuns modifiquem o arquivo composer.bat ou criem DLLs maliciosas. Além disso, certifique-se de que o diretório do php.exe selecionado pelo usuário esteja devidamente protegido de acordo com as diretrizes da Microsoft.