Уязвимость может спровоцировать еще одну масштабную атаку на цепочку поставок.
Разработчики Composer, менеджера пакетов для PHP, выпустили обновление, устраняющее опасную уязвимость в исходном коде, предоставлявшую возможность выполнить произвольные команды и внедрить «бэкдор в каждый PHP пакет».
Проблема была обнаружена специалистами нидерландской ИБ-компании SonarSource 22 апреля нынешнего года. Спустя менее 12 часов после получения сообщения об уязвимости команда Composer выпустила хотфикс. По словам разработчиков, на данный момент нет свидетельств эксплуатации уязвимости в реальных атаках.
Как пояснили специалисты SonarSource, проблема связана с обработкой URL загрузки пакетов, что может позволить злоумышленнику удаленно внедрить команды. Воспользовавшись уязвимостью, экспертам удалось выполнить произвольные системные команды на сервере библиотеки Packagist.org.
«Уязвимость в столь центральном компоненте, обслуживающем более чем 100 млн запросов пакетов метаданных в месяц, имеет огромное влияние, поскольку может использоваться для кражи учетных данных разработчиков или для переадресации загрузок на сторонние серверы, доставляющие зависимости с бэкдором», - отметили специалисты SonarSource.
Гравитация научных фактов сильнее, чем вы думаете