League/oauth2-server 8.4.2 statt 8.3.6

Ich hab hier 'nen Shopware 6.4.20.2 eines eher so mittel budgetierten Projektes.
Daher schieben wir dessen 6.5er Update gerade noch ein klein wenig vor uns her.
Keine Sorge: Ist in Planung und Test aber wir suchen nach 'nem vertretbaren Quickfix.

Der 6.4.20er Shopware required ja immer noch league/oauth2-server in der Version 8.3.6

Zu Erinnerung: Das Ding ist von CVE-2023-37260 betroffen.

Allerdings kann man die Lücke laut Security Update 07/2023 wohl erst ausnutzen, wenn der Shop hierzu Einstellungen in der shopware.yaml oder services.yaml aktiviert hat.

Da mein Composer Audit immer noch kräht, ich hätte da ne Lücke und von league mittlerweile auch oauth2-server draußen sind, die nicht das php-Requirement erhöhen, aber die Lücke stopfen. würde ich z.B. gerne von der 8.3.6 auf die 8.4.2 von league/oauth2-server wechseln.

Hat sich das sonst noch wer überlegt?

Da ich hier nicht mit einem Patch seitens Shopware rechne,
hab ich da folgende Methode dazu:

Ich stell dem Composer einfach die 8.4.2 statt der 8.3.6 ersatzweise ein:
Eine Zeile „league/oauth2-server“: „8.4.2 as 8.3.6“ in die composer requires reicht schon.

Was haltet ihr davon?
Habt ihr das irgendwie gelöst?

Hallo, ich habe zwar nur Semiahnung von Composer aber ich glaube das hier könnte funktionieren.

Damit könntest du noch weiter gehen und ganze Patches auf packages im composer-vendor regnen lassen.
Also deutlich mehr als nur das Paket unterm Hintern wechseln.
Definitiv mächtiger, sollte auch in den Methodenkatalog und ganz geil,
auch wenn man mal ein paar Zeilen Code woanders austauschen will.

Dazu muss man dann den Patch (als Diff) aber auch erstmal irgendwie haben.
(Gibts bei Github quasi aus jedem Commit gratis und lässt sich mit Git ja schnell mal bauen)

Also auch eine zielführende legitime Methode. Nice.
… und vielleicht etwas mehr die eierlegende Wollmilchsau als mein Vorschlag.

Der Briefkasten für Feedback zu meiner Methode bleibt aber noch ein bisschen auf.
Da war jetzt garnich mal so viel drin