ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В Composer, менеджере пакетов для PHP, обнаружены две уязвимости высокой степени опасности, которые в случае успешной эксплуатации могут привести к выполнению произвольных команд.

Эти уязвимости были описаны как уязвимости типа «вставка команд», затрагивающие драйвер системы контроля версий (VCS) Perforce. Подробная информация об этих двух уязвимостях приведена ниже:

CVE-2026-40176 (оценка CVSS: 7,8) — уязвимость, связанная с некорректной проверкой входных данных, которая может позволить злоумышленнику, контролирующему конфигурацию репозитория в вредоносном файле composer.json, объявляющем репозиторий Perforce VCS, внедрить произвольные команды, что приведет к выполнению команд в контексте пользователя, запустившего Composer.

CVE-2026-40261 (оценка CVSS: 8,8) — уязвимость, связанная с некорректной проверкой входных данных, вызванная неадекватной экранировкой, которая может позволить злоумышленнику внедрить произвольные команды через специально сформированную ссылку на исходный код, содержащую метасимволы оболочки.

В обоих случаях Composer будет выполнять эти внедренные команды, даже если Perforce VCS не установлен, отметили разработчики в своем уведомлении.

Уязвимости затрагивают следующие версии —

>= 2.3, < 2.9.6 (исправлено в версии 2.9.6)

>= 2.0, < 2.2.27 (исправлено в версии 2.2.27)

Если немедленное исправление невозможно, рекомендуется проверить файлы composer.json перед запуском Composer и убедиться, что поля, связанные с Perforce, содержат действительные значения. Также рекомендуется использовать только доверенные репозитории Composer, запускать команды Composer в проектах из доверенных источников и избегать установки зависимостей с использованием настроек конфигурации «--prefer-dist» или «preferred-install: dist».

Composer сообщил, что просканировал Packagist.org и не обнаружил никаких доказательств того, что вышеупомянутые уязвимости эксплуатируются злоумышленниками путем публикации пакетов с вредоносной информацией Perforce. Ожидается, что для клиентов Private Packagist Self-Hosted будет выпущен новый релиз.

«В качестве меры предосторожности публикация метаданных исходного кода Perforce на Packagist.org была отключена с пятницы, 10 апреля 2026 года», — говорится в сообщении. «Установки Composer должны быть обновлены немедленно в любом случае».