PHP Composer 新漏洞可导致任意命令执行——补丁已发布

PHP 包管理器 Composer 中披露了两个高危安全漏洞，如果被成功利用，可能会导致任意命令执行。

这些漏洞被描述为影响 Perforce VCS（版本控制软件）驱动程序的命令注入缺陷。以下是这两个缺陷的详细信息：

• CVE-2026-40176 （CVSS 评分：7.8）- 输入验证不当漏洞，攻击者可以通过控制恶意 composer.json 文件中声明的 Perforce VCS 存储库的存储库配置来注入任意命令，从而在运行 Composer 的用户上下文中执行命令。
  
• CVE-2026-40261 （CVSS 评分：8.8）- 由于转义不足导致的输入验证不当漏洞，攻击者可以通过精心构造的包含 shell 元字符的源引用注入任意命令。
  

维护人员在一份公告中指出，在这两种情况下，即使没有安装 Perforce VCS，Composer 也会执行这些注入的命令。

这些漏洞影响以下版本：

• 大于等于2.3，小于2.9.6（已在 2.9.6 版本中修复）
  
• 大于等于2.0，小于2.2.27（已在 2.2.27 版本中修复）
  

如果无法立即进行修补，建议在运行 Composer 之前检查 composer.json 文件，并确认与 Perforce 相关的字段包含有效值。此外，建议仅使用受信任的 Composer 仓库，对来自受信任来源的项目运行 Composer 命令，并避免使用“--prefer-dist”或“preferred-install: dist”配置设置来安装依赖项。

Composer 表示，他们已扫描 Packagist.org，并未发现任何证据表明威胁行为者利用上述漏洞发布包含恶意 Perforce 信息的软件包。预计将向私有 Packagist 自托管客户发布新版本。

声明中写道：“作为预防措施，Packagist.org 已于2026年4月10日（星期五）起禁用Perforce源代码元数据的发布，无论怎样，都应立即更新 Composer 安装程序。”