Un nuevo error de PHP Composer podría permitir ataques generalizados a la cadena de suministro

Compositor de PHP

Los mantenedores de Composer, un administrador de paquetes para PHP, enviaron una actualización para abordar una vulnerabilidad crítica que podría haber permitido a un atacante ejecutar comandos arbitrarios y «puerta trasera cada paquete PHP», lo que resultó en un ataque a la cadena de suministro.

Rastreado como CVE-2021-29472, el problema de seguridad fue descubierto e informado el 22 de abril por investigadores de SonarSource, luego de lo cual se implementó una revisión menos de 12 horas después.

«Se corrigió la vulnerabilidad de inyección de comandos en HgDriver / HgDownloader y se fortalecieron otros controladores y descargadores de VCS», dijo Composer en sus notas de lanzamiento para las versiones 2.0.13 y 1.10.22 publicadas el miércoles. «Hasta donde sabemos, la vulnerabilidad no ha sido explotada».

Composer se anuncia como una herramienta para la gestión de dependencias en PHP, lo que permite una fácil instalación de paquetes relevantes para un proyecto. También permite a los usuarios instalar aplicaciones PHP que están disponibles en Packagist, un repositorio que agrega todos los paquetes PHP públicos que se pueden instalar con Composer.

Según SonarSource, la vulnerabilidad se deriva de la forma en que se manejan las URL de descarga de la fuente del paquete, lo que podría llevar a un escenario en el que un adversario podría activar la inyección de comandos remotos. Como prueba de este comportamiento, los investigadores explotaron la falla de inyección de argumentos para crear una URL de repositorio de Mercurial maliciosa que aprovecha su opción de «alias» para ejecutar un comando de shell a elección del atacante.

«Una vulnerabilidad en un componente tan central, que atiende a más de 100 millones de solicitudes de metadatos de paquetes por mes, tiene un gran impacto, ya que este acceso podría haberse utilizado para robar las credenciales de los mantenedores o para redirigir las descargas de paquetes a servidores de terceros que entregan dependencias de puerta trasera. «, dijo SonarSource.

La firma de seguridad de código con sede en Ginebra dijo que uno de los errores se introdujo en noviembre de 2011, lo que sugiere que el código vulnerable acechaba desde el momento en que comenzó el desarrollo de Composer hace 10 años. La primera versión «alfa» de Composer se lanzó el 3 de julio de 2013.

«El impacto para los usuarios de Composer directamente es limitado, ya que el archivo composer.json generalmente está bajo su propio control y las URL de descarga de fuentes solo pueden ser proporcionadas por repositorios de Composer de terceros en los que confían explícitamente para descargar y ejecutar el código fuente, por ejemplo, los complementos de Composer». Jordi Boggiano, uno de los principales desarrolladores detrás de Composer, dijo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática