本文来源: admin
97
|
PHP包管理器Composer披露两处高危安全漏洞,若成功利用可导致任意命令执行。 这两个漏洞被描述为影响Perforce VCS(版本控制软件)驱动程序的命令注入缺陷。漏洞详情如下: CVE-2026-40176(CVSS评分7.8):输入验证不当漏洞,允许控制恶意composer.json中仓库配置的攻击者声明Perforce VCS仓库,注入任意命令,在运行Composer的用户上下文中执行命令。 CVE-2026-40261(CVSS评分8.8):输入验证不当漏洞,源于转义不充分,允许攻击者通过包含shell元字符的特制源引用注入任意命令。 维护者在公告中指出,即使未安装Perforce VCS,Composer也会执行这些注入命令。 受影响版本: =2.3,<2.9.6(已在2.9.6版本修复) =2.0,<2.2.27(已在2.2.27版本修复) 若无法立即修补,建议在运行Composer前检查composer.json文件,验证Perforce相关字段包含有效值。还建议使用可信的Composer仓库,在可信来源的项目上运行Composer命令,避免使用"--prefer-dist"或"preferred-install:dist"配置设置安装依赖。 Composer表示已扫描Packagist.org,未发现威胁行为体通过发布含恶意Perforce信息的包利用上述漏洞的证据。Private Packagist Self-Hosted客户预计将发布新版本。 "作为预防措施,自2026年4月10日周五起,Packagist.org已禁用Perforce源元数据发布,"公告称。"无论如何,应立即更新Composer安装。" |
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应...
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜...
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案...
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一...
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属...
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针...
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检...
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr...