anonhaven

CVE-2026-40176

HIGH CVSS 3.1: 7,8
Обновлено 17 апреля 2026
PHP
Параметр Значение
CVSS 7,8 (HIGH)
Уязвимые версии 1.0 — 2.2.26
Тип уязвимости CWE-20 (Неправильная проверка ввода), CWE-78 (Внедрение команд ОС)
Поставщик PHP
Публичный эксплойт Нет

Composer — менеджер зависимостей для PHP. Версии с 1.0 по 2.2.26 и с 2.3 по 2.9.5 содержат уязвимость внедрения команд в методе Perforce::generateP4Command(), который создает команды оболочки путем интерполяции предоставленных пользователем параметров соединения Perforce (порт, пользователь, клиент) без надлежащего экранирования. Злоумышленник может внедрить произвольные команды через эти значения в вредоносный файл композитора.json, объявляющий репозиторий Perforce VCS, что приведет к выполнению команды в контексте пользователя, запускающего Composer, даже если Perforce не установлен.

Репозитории VCS загружаются только из корневого каталога композитора.json или каталога конфигурации композитора, поэтому это невозможно использовать через файлы композитора.json пакетов, установленных как зависимости. Пользователи подвергаются риску, если запускают команды Composer в ненадежных проектах с файлами композитора.json, предоставленными злоумышленником. Эта проблема исправлена ​​в Composer 2.2.27 (2.2 LTS) и 2.9.6 (основная версия).

Показать оригинальное описание (EN)

Composer is a dependency manager for PHP. Versions 1.0 through 2.2.26 and 2.3 through 2.9.5 contain a command injection vulnerability in the Perforce::generateP4Command() method, which constructs shell commands by interpolating user-supplied Perforce connection parameters (port, user, client) without proper escaping. An attacker can inject arbitrary commands through these values in a malicious composer.json declaring a Perforce VCS repository, leading to command execution in the context of the user running Composer, even if Perforce is not installed. VCS repositories are only loaded from the root composer.json or the composer config directory, so this cannot be exploited through composer.json files of packages installed as dependencies. Users are at risk if they run Composer commands on untrusted projects with attacker-supplied composer.json files. This issue has been fixed in Composer 2.2.27 (2.2 LTS) and 2.9.6 (mainline).

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-20 Improper Input Validation (Неправильная проверка ввода)
CWE-78 OS Command Injection (Внедрение команд ОС)

Ссылки 2

https://github.com/composer/composer/releases/tag/2.9.6
security-advisories@github.com
https://github.com/composer/composer/security/advisories/GHSA-wg36-wvj6-r67p
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-6409

PHP

7,1

CVE-2026-37347

PHP

9,1

CVE-2026-37346

PHP

4,7

CVE-2026-37345

PHP

9,8

CVE-2026-37344

PHP

7,2