ГлавнаяБаза уязвимостей БДУ → BDU:2022-02944
9.3высокая

BDU:2022-02944 (CVE-2022-24828)

Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2022-05-17
Описание

Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer связана с недостаточной проверкой вводимых данных при обработке аргументов «$file» или «$identifier». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Fedora (34)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Composer (до 1.10.26)Composer (от 2.0 до 2.2.12)Composer (от 2.3 до 2.3.5)Tenable.sc (до 5.21.0)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения

Использование рекомендаций:
Для Composer:
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/

Для Tenable.sc:
https://www.tenable.com/security/tns-2022-09

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет composer до 1.2.2-1+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709https://github.com/composer/composer/security/advisories/GHSA-x7cr-6qr6-2hh6https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/https://www.tenable.com/security/tns-2022-09https://nvd.nist.gov/vuln/detail/CVE-2022-24828https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена