Un nuevo error de PHP Composer podría permitir ataques generalizados hacia la cadena de suministro

Los mantenedores de Composer, un administrador de paquetes para PHP, han enviado una actualización para abordar una vulnerabilidad crítica que podría haber permitido a un atacante ejecutar comandos arbitrarios y «puerta trasera de todos los paquetes PHP», lo que resultó en un ataque a la cadena de suministro.

Rastreado como CVE-2021-29472, el problema de seguridad fue descubierto e informado el 22 de abril por investigadores de SonarSource, luego de lo cual se implementó una revisión menos de 12 horas después.

«Se corrigió la vulnerabilidad de inyección de comandos en HgDriver / HgDownloader y se fortalecieron otros controladores y descargadores de VCS», dijo Composer en sus notas de lanzamiento para las versiones 2.0.13 y 1.10.22 publicadas el miércoles. «Hasta donde sabemos, la vulnerabilidad no ha sido explotada».

Composer se factura como una herramienta para la gestión de dependencias en PHP, lo que permite una fácil instalación de paquetes relevantes para un proyecto. También permite a los usuarios instalar aplicaciones PHP que están disponibles en Packagist , un repositorio que agrega todos los paquetes PHP públicos instalables con Composer.

Según SonarSource, la vulnerabilidad se debe a la forma en que se manejan las URL de descarga de la fuente del paquete, lo que podría conducir a un escenario en el que un adversario podría desencadenar la inyección remota de comandos. Como prueba de este comportamiento, los investigadores aprovecharon la falla de inyección de argumentos para crear una URL de repositorio de Mercurial maliciosa que aprovecha su opción » alias » para ejecutar un comando de shell que elija el atacante.

«Una vulnerabilidad en un componente tan central, que atiende a más de 100 millones de solicitudes de metadatos de paquetes por mes, tiene un gran impacto, ya que este acceso podría haberse utilizado para robar las credenciales de los encargados de mantenimiento o para redirigir las descargas de paquetes a servidores de terceros que ofrecen dependencias con puertas traseras», indica SonarSource.