PHP Composer 曝出两处高危漏洞，可导致任意命令执行

PHP包管理器Composer披露两处高危安全漏洞，若成功利用可导致任意命令执行。

这两个漏洞被描述为影响Perforce VCS（版本控制软件）驱动程序的命令注入缺陷。漏洞详情如下：

CVE-2026-40176（CVSS评分7.8）：输入验证不当漏洞，允许控制恶意composer.json中仓库配置的攻击者声明Perforce VCS仓库，注入任意命令，在运行Composer的用户上下文中执行命令。

CVE-2026-40261（CVSS评分8.8）：输入验证不当漏洞，源于转义不充分，允许攻击者通过包含shell元字符的特制源引用注入任意命令。

维护者在公告中指出，即使未安装Perforce VCS，Composer也会执行这些注入命令。

受影响版本：

=2.3,<2.9.6（已在2.9.6版本修复）

=2.0,<2.2.27（已在2.2.27版本修复）

若无法立即修补，建议在运行Composer前检查composer.json文件，验证Perforce相关字段包含有效值。还建议使用可信的Composer仓库，在可信来源的项目上运行Composer命令，避免使用"--prefer-dist"或"preferred-install:dist"配置设置安装依赖。

Composer表示已扫描Packagist.org，未发现威胁行为体通过发布含恶意Perforce信息的包利用上述漏洞的证据。Private Packagist Self-Hosted客户预计将发布新版本。

"作为预防措施，自2026年4月10日周五起，Packagist.org已禁用Perforce源元数据发布，"公告称。"无论如何，应立即更新Composer安装。"