Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Composer は、PHP プログラミング言語の依存関係マネージャーです。コンポーザコードを使用して「VcsDriver::getFileContent」を呼び出すインテグレーションは、ユーザーが「$file」または「$identifier」引数をコントロールできる場合、コードインジェクションの脆弱性を持つ可能性があります。これにより、packagist.org での脆弱性につながります。たとえば、composer.json の 「readme」フィールドは、任意のデータを許可した場合、「$file」引数経由で hg/Mercurial に、あるいは「$identifier」引数経由で git にパラメーターを注入するベクトルとして使われる可能性があります (Packagist ではありませんが、他のインテグレーターはあり得ます)。Composer 自体は、「$file」/「$identifier」に任意のデータを入れて「getFileContent」を呼び出すことはないため、脆弱性の影響を受けません。知る限りではこれは悪用されておらず、脆弱性の報告から 1 日以内に packagist.org と Private Packagist でパッチが適用されています。(CVE-2022-24828)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

自己報告されたバージョンによると、リモートホストにインストールされている Tenable SecurityCenter アプリケーションのバージョンは 5.21.0未満です。したがって、複数の脆弱性の影響を受けます。

    - コマンドインジェクションの脆弱性が Composer にあります。認証されていないリモートの攻撃者がこれを悪用し、信頼できない依存関係をインストールして任意のコマンドを実行する可能性があります。(CVE-2021-41116)     
    - コードインジェクションの脆弱性が Composer にあります。認証されていないリモートの攻撃者がこれを悪用し、$file または $identifier を制御して任意のコマンドを実行する可能性があります。(CVE-2022-24828)     
    - 領域外読み取り/書き込み - Apache HTTP Server の mod_sed における領域外書き込みの脆弱性により、攻撃者は、攻撃者が提供したデータでヒープメモリを上書きする可能性があります。この問題は Apache HTTP Server 2.4 バージョン 2.4.52 以前に影響を与えます。(CVE-2022-23943) 注: 最も深刻な問題の悪用が成功すると、任意のコードが実行される可能性があります。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2022:3020-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - Composer は、PHP プログラミング言語の依存関係マネージャーです。Composer コードを使用して「VcsDriver: : getFileContent」を呼び出すインテグレーターには、ユーザーが「$file」または「$identifier」引数をコントロールできる場合、コードインジェクションの脆弱性が存在する可能性があります。これにより、packagist.org での脆弱性につながります。たとえば、composer.json の 「readme」フィールドは、任意のデータを許可した場合、「$file」引数経由で hg/Mercurial に、あるいは「$identifier」引数経由で git にパラメーターを注入するベクトルとして使われる可能性があります (Packagist ではありませんが、他のインテグレーターはあり得ます)。Composer 自体は、「$file」/「$identifier」に任意のデータを入れて「getFileContent」を呼び出すことはないため、脆弱性の影響を受けません。知る限りではこれは悪用されておらず、脆弱性の報告から 1 日以内に packagist.org と Private Packagist でパッチが適用されています。(CVE-2022-24828)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、24a9bd2b-bb43-11ec-af81-0897988a1c07 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Composer は、PHP プログラミング言語の依存関係マネージャーです。Composer コードを使用して「VcsDriver: : getFileContent」を呼び出すインテグレーターには、ユーザーが「$file」または「$identifier」引数をコントロールできる場合、コードインジェクションの脆弱性が存在する可能性があります。これにより、packagist.org での脆弱性につながります。たとえば、composer.json の 「readme」フィールドは、任意のデータを許可した場合、「$file」引数経由で hg/Mercurial に、あるいは「$identifier」引数経由で git にパラメーターを注入するベクトルとして使われる可能性があります (Packagist ではありませんが、他のインテグレーターはあり得ます)。Composer 自体は、「$file」/「$identifier」に任意のデータを入れて「getFileContent」を呼び出すことはないため、脆弱性の影響を受けません。知る限りではこれは悪用されておらず、脆弱性の報告から 1 日以内に packagist.org と Private Packagist でパッチが適用されています。(CVE-2022-24828)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2022:0132-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Composer は、PHP 言語のオープンソース依存関係マネージャーです。影響を受けるバージョンでは、信頼できない依存関係をインストールするために Composer を実行している Windows ユーザーは、コマンドインジェクションの対象となるため、composer のバージョンをアップグレードする必要があります。その他の OS および WSL は影響を受けません。この問題はコンポーザーバージョン 1.10.23 および 2.1.9 で解決済みです。この問題についての回避策はありません。(CVE-2021-41116)

  - Composer は、PHP プログラミング言語の依存関係マネージャーです。Composer コードを使用して「VcsDriver: : getFileContent」を呼び出すインテグレーターには、ユーザーが「$file」または「$identifier」引数をコントロールできる場合、コードインジェクションの脆弱性が存在する可能性があります。これにより、packagist.org での脆弱性につながります。たとえば、composer.json の 「readme」フィールドは、任意のデータを許可した場合、「$file」引数経由で hg/Mercurial に、あるいは「$identifier」引数経由で git にパラメーターを注入するベクトルとして使われる可能性があります (Packagist ではありませんが、他のインテグレーターはあり得ます)。Composer 自体は、「$file」/「$identifier」に任意のデータを入れて「getFileContent」を呼び出すことはないため、脆弱性の影響を受けません。知る限りではこれは悪用されておらず、脆弱性の報告から 1 日以内に packagist.org と Private Packagist でパッチが適用されています。(CVE-2022-24828)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS ホストには USN-7603-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Thomas Chauchefoin 氏は、Composer が特定の引数を正しく処理しないことを発見しました。攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS のみです。(CVE-2022-24828、CVE-2023-43655)

    Ed Cradock 氏は、Composer が特定のファイルの除外を適切に処理しなかったことを発見しました。攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。この問題の影響を受けるのは、Ubuntu 22.04 LTS のみです。
    (CVE-2024-24821)

    Martin Haunschmid 氏は、Composer が git ブランチ名を正しく処理しないことを発見しました。攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。(CVE-2024-35241)

    Maciej Piechota 氏は、Composer が VCS ブランチ名を正しく処理しないことを発見しました。攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。(CVE-2024-35242)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
257851	Linux Distros のパッチ未適用の脆弱性: CVE-2022-24828	Nessus	Misc.	2025/8/27	2025/8/27	high
160883	Tenable SecurityCenter < 5.21.0 の複数の脆弱性 (TNS-2022-09)	Nessus	Misc.	2022/5/10	2024/5/10	critical
164692	SUSE SLES15 / openSUSE 15 セキュリティ更新: php-composer2 (SUSE-SU-2022:3020-1)	Nessus	SuSE Local Security Checks	2022/9/6	2023/7/14	high
159723	FreeBSD：Composer -- コマンドインジェクションの脆弱性 (24a9bd2b-bb43-11ec-af81-0897988a1c07)	Nessus	FreeBSD Local Security Checks	2022/4/13	2022/4/26	high
160972	openSUSE 15 セキュリティ更新: php-composer (openSUSE-SU-2022:0132-1)	Nessus	SuSE Local Security Checks	2022/5/11	2022/5/11	critical
241064	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS : Composer の脆弱性 (USN-7603-1)	Nessus	Ubuntu Local Security Checks	2025/7/1	2025/7/1	high

検出

プラグインの検索

high

critical

high

high

critical

high