CVE-2026-59948 in Composerinformazioni

Riassunto

di VulDB • 08/07/2026

Composer è un gestore di dipendenze per il linguaggio PHP. Prima delle versioni 2.2.29 e 2.10.2, un pacchetto malevolo creato ad hoc proveniente da un repository non attendibile diverso da Packagist.org o Private Packagist può causare la scrittura da parte di Composer di file controllati dall'attaccante al di fuori della directory vendor e del progetto durante l'installazione o l'aggiornamento, utilizzando un nome di pacchetto non valido che non viene correttamente convalidato prima che i risultati della risoluzione delle dipendenze vengano scritti o installati. Questo problema è stato risolto nelle versioni 2.2.29 e 2.10.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!