PHP Composer 新漏洞可引发大规模供应链攻击

该漏洞的编号为 CVE-2021-29472，由 SonarSource 公司的研究员于4月22日发现并报告，之后不到12小时，热修复方案发布。本周三，Composer 发布版本 2.0.13 和1.10.22 的发布信息时指出，“已修复HgDriver/HgDownloader 中的命令注入漏洞，并加固了其它 VCS 驱动和下载工具的安全性，”就我们所知，该漏洞并未遭利用。“

Composer 是 PHP 中的依赖关系管理工具，可轻松助力安装与项目相关的程序包，同时可使用户安装 Packagist 上的 PHP 应用程序。Packagist 库中集合了可在 Composer 中安装的所有公开 PHP 包。

研究人员表示，漏洞源自程序包的来源下载 URL 的处理方式不当，从而导致出现攻击者触发远程命令注入的场景。为验证这一情况，研究员利用参数注入缺陷构建了恶意 Mercurial 库的 URL，利用其 “alias” 选项执行了攻击者所选的 shell 命令。

研究人员指出，“该中心组件每个月支持超过1亿次程序包元数据请求，其中的漏洞可造成巨大影响，因为这种权限可被用于窃取维护人员的凭据或将包下载重定向至传播后门依赖关系的第三方服务器中。“

研究人员指出，其中一个漏洞在2011年11月引入，这表明自十年前 Composer 开发时，易受攻击的代码就存在。Composer 的首个阿尔法版本在2013年7月3日发布。

Composer 的主要开发人员之一 Jordi Boggiano 表示，“对 Composer 用户的直接影响有限，因为 composer.json 文件一般都受用户控制，而且来源下载 URL 仅可由用户明确信任的第三方 Composer 库提供，才能从 Composer 插件等中下载并执行源代码。”