SonarSourceは10月4日(現地時間)、「Securing Developer Tools: A New Supply Chain Attack on PHP」において、、PHPソフトウェアパッケージリポジトリである「Packagist」にサプライチェーン攻撃を実行するために悪用可能な重大な脆弱性を発見したと伝えた。この脆弱性は発見された後、数時間以内にリポジトリの管理者によって修正されている。
見つかった脆弱性は、開発者がプロジェクトに含めるソフトウェアの依存関係を特定してダウンロードするために使われている、PHPパッケージマネージャである「Composer」に存在していた。この脆弱性を悪用することでPHPソフトウェアパッケージに関する情報を配信するサーバが制御される可能があり、最終的にリポジトリを使用するすべての組織に対して攻撃が行える危険性があったという。
「CVE-2022-24828」と特定されている脆弱性は、深刻度がCVSSv3スコア値8.8で重要(High)と位置づけられている。コマンドインジェクションの問題とされており、SonarSourceのセキュリティ研究者は「CVE-2021-29472」として追跡されているComposerに存在した別のコマンドインジェクションの脆弱性に関連していると説明している。
デフォルトの公式PackagistインスタンスやPrivate Packagistを使用している場合は、すでに安全とのことだ。Composerをライブラリとして統合し、信頼されていないリポジトリで運用している場合は、少なくともComposer 1.10.26または2.2.12、2.3.5にアップグレードし、セキュリティパッチを適用することが推奨されている。
