Un ricercatore di sicurezza di SonarSource ha scoperto una vulnerabilità di sicurezza di iniezione di comandi (CVE-2021-29472) in un popolare pacchetto PHP. Questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire comandi arbitrari e stabilire una backdoor in ogni pacchetto PHP, provocando un attacco alla catena di approvvigionamento.
Di recente, SonarSource ha rilasciato un advisory che include correzioni per questa vulnerabilità che colpisce i manutentori del pacchetto PHP Composer.
- Durante la ricerca sulla sicurezza, è stata scoperta una vulnerabilità critica nel codice sorgente di Composer. La vulnerabilità ha consentito ai ricercatori di eseguire comandi di sistema arbitrari sul server Packagist [.] Org.
- La vulnerabilità deriva dalla disinfezione impropria degli URL per i repository nei file root composer.json. L’URL di download sorgente del pacchetto potrebbe essere interpretato come opzioni per i comandi di sistema eseguiti da Composer.
- L’iniezione di parametri è ora corretta in tutti i compositori. Thomas Chauchefoin e il team di SonarSource hanno separato gli argomenti dei comandi posizionali dalle opzioni con il separatore ove possibile.
- Secondo i ricercatori, il problema è stato introdotto per la prima volta nel novembre 2011. Inoltre, è stato segnalato il 22 aprile e i manutentori lo hanno affrontato rapidamente.
Le minacce alla sicurezza in PHP o nei suoi componenti, che servono più di 100 milioni di richieste di metadati di pacchetti ogni mese, potrebbero avere un impatto enorme. Questo accesso potrebbe essere utilizzato per reindirizzare i download di pacchetti a server di terze parti che diffondono dipendenze backdoor o rubano le credenziali dei manutentori. Pertanto, linguaggi come PHP necessitano di livelli di sicurezza aggiuntivi per prevenire un altro grave incidente informatico.