Куда я попал?
CVE-2023-43655
PUBLISHED
18.06.2025
CNA: GitHub_M
Remote Code Execution via web-accessible composer.phar
Обновлено:
27.03.2024
Composer is a dependency manager for PHP. Users publishing a composer.phar to a public web-accessible server where the composer.phar can be executed as a php file may be subject to a remote code execution vulnerability if PHP also has `register_argc_argv` enabled in php.ini. Versions 2.6.4, 2.2.22 and 1.10.27 patch this vulnerability. Users are advised to upgrade. Users unable to upgrade should make sure `register_argc_argv` is disabled in php.ini, and avoid publishing composer.phar to the web as this is not best practice.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-74 | CWE-74 Injection |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2024-04879 | Уязвимость файла composer.phar менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 6.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
Доп. Информация
Product Status
| composer | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | composer | ||||||||
| Vendor: | composer | ||||||||
| Default status: | Не определен | ||||||||
| Версии: |
|
||||||||
Ссылки
CVE Program Container
Обновлено:
02.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
CISA ADP Vulnrichment
Обновлено:
18.06.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | total | 2.0.3 | 23.09.2024 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.