Composerの開発者は4月27日(米国時間)、「Composer Command Injection Vulnerability」において、脆弱性を修正したComposerを公開したと伝えた。ユーザーに対して直ちに「Composer 2.0.13」または「Composer 1.10.22」へアップデートすることを推奨している。この脆弱性は影響が広範囲に及んでいた可能性があると評価されている。

  • Composer Command Injection Vulnerability

    Composer Command Injection Vulnerability

脆弱性はSonarSourceのセキュリティ研究者によって発見されたもので、脆弱性の詳細は次のページで確認できる。

脆弱性は最も長いもので10年以上前から存在していたという。ただし今のところ、この脆弱性が悪用した痕跡はないとされている。

ComposerはPHPの依存関係を管理するツール。依存するパッケージのインストールやアップデートを簡単にし、環境に左右されることなくソフトウェアをデプロイして動作可能な状態にすることができる。Composerは多くのプロジェクトで採用されており、今回の脆弱性は多くのプロジェクトに影響を与えていた可能性があるとされており注意が必要。Composerの開発者はアップデート後にcomposer.lockファイルを監査してチェックを行うことを推奨している。