Разработчики Composer, менеджера пакетов для PHP, выпустили обновление, устраняющее опасную уязвимость в исходном коде, предоставлявшую возможность выполнить произвольные команды и внедрить «бэкдор в каждый PHP пакет». Проблема была обнаружена специалистами нидерландской ИБ-компании SonarSource 22 апреля нынешнего года. Спустя менее 12 часов после получения сообщения об уязвимости команда Composer выпустила хотфикс. По словам разработчиков, на данный момент нет свидетельств эксплуатации уязвимости в реальных атаках. Как пояснили специалисты SonarSource, проблема связана с обработкой URL загрузки пакетов, что может позволить злоумышленнику удаленно внедрить команды. Воспользовавшись уязвимостью, экспертам удалось выполнить произвольные системные команды на сервере библиотеки Packagist.org. «Уязвимость в столь центральном компоненте, обслуживающем более чем 100 млн запросов пакетов метаданных в месяц, имеет огромное влияние, поскольку может использоваться для кражи учетных данных разработчиков или для переадресации загрузок на сторонние серверы, доставляющие зависимости с бэкдором», — отметили специалисты SonarSource.