Especialistas en seguridad informática reportan la detección de una vulnerabilidad crítica en Composer, un sistema de gestión de paquetes para programar en PHP que provee los formatos estándar necesarios para manejar dependencias y librerías de PHP. La explotación exitosa de esta falla podría resultar en un escenario de alto riesgo para los afectados.
Identificada como CVE-2022-24828, la vulnerabilidad existe debido a una validación de entrada incorrecta dentro del método VcsDriver::getFileContent() al analizar los argumentos $file o $identifier. Esto podría ser aprovechado por actores de amenazas remotos para pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema afectado.
La falla recibió un puntaje de 8.5/10 según el Common Vulnerability Scoring System (CVSS) y solo puede ser explotada si se utiliza el controlador Mercurial o Git. La explotación exitosa de la falla podría llevar al compromiso total del sistema vulnerable.
Según el reporte, la falla reside en todas las versiones de Composer entre 1.0.0 y 2.3.4.
Si bien la falla podría ser explotada por actores de amenazas remotos no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware vinculada al ataque. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad; los parches correspondientes ya están disponibles.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.