Básicamente te deja una carpeta en la aplicación que se llama "vendor" con una lista de archivos donde cualquiera podría acceder a ellos mediante la url, y ver lo que contienen estos archivos.

¿Algo de qué preocuparme?

¿¿¿Eh???

Sí tienes que preocuparte. Tienes que chapar el acceso a esa carpeta protegiendo el directorio para que solo pueda entrar localhost/127.0.0.1, es decir, la propia máquina o sacarlo fuera del DOCUMENT_ROOT. La mayoría de frameworks de PHP tienen una carpeta específica para DOCUMENT_ROOT y todo lo demás queda a un nivel superior que no debe ser accesible. Si no puedes hacerlo de esa forma, chapa el acceso a esa carpeta.

Además, cualquier librería que uses puede tener una vulnerabilidad desconocida que obviamente puede ser explotada.. para eso se recomiendan actualizaciones frecuentes.

Y siempre asegúrate a desplegar en producción con --no-dev para no desplegar paquetes de desarrollo.


Para cuando github te avisa de una vulnerabilidad, el disclousure está hecho y probablemente ya se está explotando en vivo. Confiar en que te avise para tomar acción es tonteria.

Saludos