PHP Composer 多个新漏洞可导致任意命令执行

聚焦源代码安全网罗国内外最新资讯编译代码卫士PHP的包管理器 Composer 中存在两个高危漏洞如遭成功利用可导致任意命令执行。这两个漏洞影响 Perforce VCS版本控制软件简述如下CVE-2026-40175CVSS评分7.8是一个输入验证不当漏洞可导致攻击者利用恶意 composer.json 中的Perforce仓库配置注入任意命令在运行Composer的用户上下文中执行命令。CVE-2026-40261CVSS评分8.8因转义不足导致的输入验证漏洞攻击者可通过包含shell元字符的构造源引用注入任意命令。维护者指出即使系统未安装Perforce VCSComposer仍会执行上述注入命令。这两个漏洞影响如下版本 2.3 且 2.9.6已在2.9.6中修复 2.0 且 2.2.27已在2.2.27中修复若无法立即打补丁建议在运行Composer前检查composer.json文件确保Perforce相关字段包含有效值仅使用受信任的Composer仓库仅对来自可信源的项目运行Composer命令避免使用 --prefer-dist 选项或preferred-install: dist配置。Composer表示扫描Packagist.org后并未发现攻击者通过发布包含恶意Perforce信息的软件包利用上述漏洞的证据。针对自托管Private Packagist用户预计将发布新版本。Composer 表示作为预防措施自2026年4月10日周五起Packagist.org已禁用Perforce源元数据的发布。无论何种情况建议用户立即更新Composer安装。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读这个严重的PHP漏洞正遭大规模利用PHPFusion 开源 CMS 中存在严重漏洞热门开源Dompdf PHP 库中存在严重漏洞原文链接https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~