PT-2022-2529 · Composer+6 · Composer+6
Seldaek
+1
·
Publicado
2022-04-13
·
Atualizado
2025-06-30
·
CVE-2022-24828
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Composer (versões afetadas não especificadas)
Descrição
O problema está relacionado ao método
VcsDriver::getFileContent no Composer, um gerenciador de dependências para PHP. Se um usuário puder controlar o argumento $file ou $identifier, isso poderá levar a uma vulnerabilidade de injeção de código. Essa vulnerabilidade pode ser explorada em plataformas como o packagist.org, onde o campo readme no composer.json pode ser usado para injetar parâmetros no hg/Mercurial por meio do argumento $file ou no git por meio do argumento $identifier. Pelo que sabemos, essa vulnerabilidade não foi explorada ativamente. A vulnerabilidade foi corrigida no packagist.org e no Private Packagist em menos de um dia após o relatório da vulnerabilidade.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Code Injection
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Composer
Linuxmint
Red Os
Suse
Ubuntu