BDU:2022-02944

Опубликовано: 13 апр. 2022

Источник: fstec

CVSS3: 8.3

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer связана с недостаточной проверкой вводимых данных при обработке аргументов «$file» или «$identifier». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Fedora Project

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Nils Adermann, Jordi Boggiano

Tenable, Inc.

АО "НППКТ"

Наименование ПО

Fedora

РЕД ОС

Astra Linux Special Edition

Composer

Tenable.sc

ОСОН ОСнова Оnyx

Версия ПО

34 (Fedora)

35 (Fedora)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

до 1.10.26 (Composer)

от 2.0 до 2.2.12 (Composer)

от 2.3 до 2.3.5 (Composer)

до 5.21.0 (Tenable.sc)

4.7 (Astra Linux Special Edition)

до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 34

Fedora Project Fedora 35

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Composer:

https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/

Для Tenable.sc:

https://www.tenable.com/security/tns-2022-09

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения composer до версии 1.8.4-1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-24828
CVE

EPSS

Процентиль: 65%

0.00504

Низкий

8.3 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ROS-20240626-10

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости composer

CVE-2022-24828

CVSS3: 8.3

ubuntu

около 3 лет назад

Composer is a dependency manager for the PHP programming language. Integrators using Composer code to call `VcsDriver::getFileContent` can have a code injection vulnerability if the user can control the `$file` or `$identifier` argument. This leads to a vulnerability on packagist.org for example where the composer.json's `readme` field can be used as a vector for injecting parameters into hg/Mercurial via the `$file` argument, or git via the `$identifier` argument if you allow arbitrary data there (Packagist does not, but maybe other integrators do). Composer itself should not be affected by the vulnerability as it does not call `getFileContent` with arbitrary data into `$file`/`$identifier`. To the best of our knowledge this was not abused, and the vulnerability has been patched on packagist.org and Private Packagist within a day of the vulnerability report.

CVE-2022-24828

CVSS3: 8.3

nvd

около 3 лет назад

CVE-2022-24828

CVSS3: 8.3

debian

около 3 лет назад

Composer is a dependency manager for the PHP programming language. Int ...

SUSE-SU-2022:3020-1

suse-cvrf

почти 3 года назад

Security update for php-composer2

EPSS

Процентиль: 65%

0.00504

Низкий

8.3 High

CVSS3

9.3 Critical

CVSS2