Composer, das am häufigsten verwendete Paketmanagement-Tool im PHP-Ökosystem, hat Korrekturen für zwei schwere Sicherheitsausfälle veröffentlicht, die, erfolgreich ausgenutzt, die Ausführung von beliebigen Befehlen auf der Maschine ermöglichen würde, wo Composer ausgeführt wird. Diese Probleme sind mit dem Perforce-Controller als Versionssteuerungssystem verbunden und betreffen mehrere Zweige des Composer 2.x.
Die beiden Schwachstellen wurden mit CVE-Kennzeichen und hohen Schwerepunkten katalogisiert: CVE-2026-40176 (CVSS 7.8) und CVE-2026-40261 (CVSS 8.8). Die technischen Details finden Sie in der NVD-Datenbank: CVE-2026-40176 und CVE-2026-40261.
Beide Schwachstellen kommen in einfacher Weise aus einer unzureichenden Validierung und Flucht von Daten aus der Konfiguration eines Perforce-Repositorys, das in einem Komponisten erklärt wurde. jsonfile. Ein schädliches Repository kann Felder enthalten, die dazu bestimmt sind, spezielle Shell-Zeichen oder Sequenzen zu injizieren, die Composer mit dem Laufen beendet. Die besorgniserregende Sache ist, dass Composer diese Befehle entsprechend ausführen kann, auch wenn Perforce nicht im System installiert ist, weil der Controller-Code die Metadaten verarbeitet und in Anrufe verwandelt, die in der Shell enden.
Welche Versionen betroffen sind und die die Korrektur enthalten: die Fehler Auswirkungen auf die Zweige 2.0 und 2.3 in bestimmten Bereichen. Die Korrekturen wurden in den Versionen 2.2.27 und 2.9.6 veröffentlicht; wenn Ihre Composer-Installation unter diesen Grenzen liegt, sollte sie so bald wie möglich aktualisiert werden. Sie können das Projekt und die Hinweise im offiziellen Repository von Composer in GitHub überprüfen: github.com / Komponist / Komponist.
Wenn es aus irgendeinem Grund nicht möglich ist, das Update sofort anzuwenden, gibt es Zwischenmaßnahmen, die das Risiko reduzieren. Einer der wichtigsten ist die manuelle Überprüfung des Komponisten. json-Dateien vor dem Laufen von Composer in Projekten, die nicht aus zuverlässigen absoluten Quellen kommen: Überprüfen Sie, dass es keine perforce-bezogenen Einträge mit Fremdwerten oder Sonderzeichen gibt. Darüber hinaus sollte die Installation auf Repositories und Konfidenzpakete beschränkt sein und die Nutzung der Option sollte vermieden werden, es sei denn, es ist sicher, dass die Quelle. --preferen-dist oder die Konfiguration Präfix weil diese Routen manipulative externe Metadaten aussetzen können.
Die Beamten des Komponisten haben in Packagist.org einen Sweep durchgeführt und haben im Moment keinen Beweis dafür gefunden, dass schädliche Akteure diese Fehler durch die Veröffentlichung von Paketen mit manipulierten Perforce-Metadaten ausgenutzt haben. Als vorbeugende Maßnahme wurde jedoch die Veröffentlichung von Perforce-bezogenen Metadaten am Freitag, 10. April 2026 bei Packagist.org deaktiviert. Wenn Sie Packagist verwenden, können Sie die Plattform auf der wohnzimmer.de.
Wenn Sie Firmeneinrichtungen oder eine selbstgehostete Instanz (Private Packagist) verwalten, beachten Sie: Teams gaben an, dass eine neue Lieferung für Packagist Self-Hosted Kunden erwartet wird, um die Minderung in kontrollierten Umgebungen anzusprechen und zu koordinieren. In der Zwischenzeit sind gute Sicherheitspraktiken - Update, Audit-Metadaten und Limitierung der Verwendung von nicht verifizierten Quellen - die effektivste Verteidigung.
Dieser Vorfall erinnert daran, dass selbst die Tools des Vertrauens, bei der Verarbeitung externer Metadaten, entfernte Vektoren werden können, wenn die Eingabe nicht richtig validiert oder entgangen ist. Wenn Sie PHP-Projekte verwalten, ist die praktische und dringende Empfehlung, Composer auf die Versionen zu aktualisieren, die beide Schwachstellen korrigieren und die automatisierten Prozesse überprüfen, die Sie Composer über Fremdcode ausführen.
Weitere Informationen und Überwachung finden Sie in den offiziellen Einträgen und Sicherheitshinweisen des Composer-Projekts und in der nationalen Sicherheitsdatenbank: Ich bin nicht da., Berater in GitHub und die Registerkarte jedes EQO im oben genannten NVD.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...