PT-2021-4546 · Composer+5 · Composer+5
Thomas-Chauchefoin-Sonarsource
·
Publicado
2021-03-30
·
Atualizado
2026-05-04
·
CVE-2021-29472
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Composer anteriores à 1.10.22
Versões do Composer anteriores à 2.0.13
Descrição
O problema está relacionado à sanitização incorreta de URLs para repositórios Mercurial no arquivo composer.json raiz e nas URLs de download de código-fonte de pacotes. Isso permite que valores de URL especificamente criados executem código no HgDriver se o hg/Mercurial estiver instalado no sistema. O impacto afeta principalmente serviços que transmitem entradas do usuário ao Composer, incluindo o Packagist.org e o Private Packagist, pois permite que usuários acionem a execução remota de código. A vulnerabilidade foi corrigida no Packagist.org e no Private Packagist dentro de 12 horas após o recebimento do relatório inicial de vulnerabilidade e, com base na análise dos logs, acredita-se que a vulnerabilidade não tenha sido explorada por ninguém.
Recomendações
Para versões anteriores à 1.10.22, atualize para a versão 1.10.22 ou posterior para corrigir o problema.
Para versões anteriores à 2.0.13, atualize para a versão 2.0.13 ou posterior para corrigir o problema.
Como solução alternativa temporária, considere desativar o HgDriver até que uma correção esteja disponível.
Restrinja o acesso ao VcsRepository/VcsDriver ou derivados para minimizar o risco de exploração.
Evite usar valores de URL especialmente criados no arquivo composer.json e URLs de download de código-fonte de pacotes até que o problema seja resolvido.
Exploit
Correção
RCE
Code Injection
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Composer
Linuxmint
Suse
Ubuntu