Mercurial

Sécurité

CVE-2022-24828: Composer Command Injection Vulnerability

Une vulnérabilité de sécurité de commande d'injection (CVE-2022-24828) a été découverte dans Composer, affectant les versions antérieures. Les mises à jour (2.3.5, 2.2.12, 1.10.26) corrigent cette faille permettant à un attaquant de contrôler l'exécution de commandes par une mauvaise gestion des noms de branches. Bien que le problème ait été signalé, aucune exploitation connue n'a eu lieu. Des mesures de validation des entrées ont été mises en place pour éviter l'exploit.

blog.packagist.com

mercurial
Sécurité

Composer Command Injection Vulnerability

Une nouvelle vulnérabilité de type injection de commande a été détectée dans Composer. Les versions 2.0.13 et 1.10.22 corrigent cette faille qui permettait une exécution de commandes à distance via des URL non assainies dans le fichier composer.json. Bien que jugée non exploitée, il est recommandé de faire la mise à jour et d'auditer les fichiers composer.lock afin d'éliminer tout URL potentiellement dangereux. Composer 2.0 offre des améliorations significatives en termes de performances et de gestion de la mémoire.

blog.packagist.com

mercurial