【高危】- PHP Composer命令注入漏洞预警(CVE-2021-29472)
■ 漏洞描述
2021年04月27日,PHP Composer软件包发布了Composer 1.10.22和2.0.13版本,修复了PHP Composer中的一个命令注入漏洞(CVE-2021-29472),该漏洞的CVSSv3基本得分为8.8,攻击者可以通过利用此漏洞执行任意命令并在开发环境中创建后门,以进行供应链攻击。
■ 影响范围
Composer < 1.10.22 || >=2.0,<2.0.13
■ 漏洞检测
匹配使用版本
■ 漏洞修复
目前此漏洞已经修复,建议升级到Composer 1.10.22或2.0.13。
下载链接:
https://getcomposer.org/
■ 临时修复
无
■ 漏洞详情
https://blog.sonarsource.com/php-supply-chain-attack-on-composer
https://github.com/composer/composer/security/advisories/GHSA-h5h8-pc6h-jvvx
2021年04月27日,PHP Composer软件包发布了Composer 1.10.22和2.0.13版本,修复了PHP Composer中的一个命令注入漏洞(CVE-2021-29472),该漏洞的CVSSv3基本得分为8.8,攻击者可以通过利用此漏洞执行任意命令并在开发环境中创建后门,以进行供应链攻击。
■ 影响范围
Composer < 1.10.22 || >=2.0,<2.0.13
■ 漏洞检测
匹配使用版本
■ 漏洞修复
目前此漏洞已经修复,建议升级到Composer 1.10.22或2.0.13。
下载链接:
https://getcomposer.org/
■ 临时修复
无
■ 漏洞详情
https://blog.sonarsource.com/php-supply-chain-attack-on-composer
https://github.com/composer/composer/security/advisories/GHSA-h5h8-pc6h-jvvx