PHP 套件管理器 Composer 中揭露了兩個高風險安全漏洞，如果被成功利用，可能會導致任意命令執行。這些漏洞被描述為影響 Perforce VCS（版本控制軟體）驅動程式的命令注入缺陷。以下是這兩個缺陷的詳細資訊 -

CVE-2026-40176（CVSS 評分：7.8）- 輸入驗證不當漏洞，攻擊者可以透過控制惡意 composer.json 檔案中聲明的 Perforce VCS 儲存庫的儲存庫配置來注入任意命令，從而在執行 Composer 的使用者上下文中執行命令。

CVE-2026-40261 （CVSS 評分：8.8）- 由於轉義不足導致的輸入驗證不當漏洞，攻擊者可以透過精心建構的包含 shell 元字元的來源引用注入任意命令。維護人員在一份公告中指出，在這兩種情況下，即使沒有安裝 Perforce VCS，Composer 也會執行這些注入的命令。這些漏洞影響以下版本 -

✔  版本 >= 2.3，< 2.9.6（已在 2.9.6 版本中修復）

✔  版本 >= 2.0，< 2.2.27（已在 2.2.27 版本中修復）

如果無法立即進行修補，建議在執行 Composer 之前檢查 composer.json 文件，並確認與 Perforce 相關的欄位包含有效值。此外，建議僅使用受信任的 Composer 倉庫，對來自受信任來源的專案執行 Composer 命令，並避免使用「--prefer-dist」或「preferred-install: dist」組態設定來安裝相依性。

Composer 表示，他們已掃描 Packagist.org，並未發現任何證據表明威脅行為者利用上述漏洞發布包含惡意 Perforce 資訊的軟體包。預計將向私有 Packagist 自託管客戶發布新版本。作為預防措施，Packagist.org 已於 2026 年 4 月 10 日（星期五）起禁用 Perforce 原始碼元資料的發布。無論如何，Composer 安裝都應立即更新。

資料來源：https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html