Vulnérabilité dans le gestionnaire de dépendances PHP Composer

CVE-2021-29472[Score CVSS v3 : 8.8]
Composer est un gestionnaire de dépendances pour PHP. Les URL des dépôts Mercurial dans le composer.json racine et les URL de téléchargement des paquets sources ne sont pas correctement nettoyées. Des valeurs d'URL spécifiquement conçues permettent l'exécution de code dans le HgDriver si hg/Mercurial est installé sur le système. L'impact direct sur les utilisateurs de Composer est limité car le fichier composer.json est généralement sous leur propre contrôle et les URL de téléchargement des sources ne peuvent être fournies que par des dépôts Composer tiers auxquels ils font explicitement confiance pour télécharger et exécuter du code source. Le principal impact concerne les services qui transmettent les entrées des utilisateurs à Composer, notamment Packagist.org et Private Packagist. Cela permettait à un attaquant distant et authentifié de déclencher l'exécution de code à distance. Cette vulnérabilité a été corrigée sur Packagist.org et Private Packagist. L’équipe de développement de Composer n’a pas détecté de tentative d’exploitation après correction de la faille. D'autres services/outils utilisant VcsRepository/VcsDriver, ou bien des dérivés, peuvent également être vulnérables et doivent mettre à jour leur dépendance de composer/composer immédiatement.