Менеджер зависимостей, который слишком много себе позволяет. Как Composer едва не открыл двери хакерам
NewsMakerУдар пришёл с той стороны, которую всегда считали абсолютно защищённой.
Разработчики Composer выпустили обновление , которое устраняет сразу две уязвимости, способные привести к выполнению произвольных команд на машине пользователя. Проблема примечательна тем, что риск затрагивал не только тех, кто работает с Perforce, но и обычные установки Composer, где Perforce вообще не использовался.
Composer — менеджер зависимостей для PHP , который помогает подключать сторонние библиотеки, обновлять пакеты и собирать проект с нужными версиями компонентов. Инструмент широко используют и в небольших веб-приложениях, и в крупных сервисах, поэтому любые проблемы в Composer быстро выходят за рамки одной экосистемы и затрагивают большое число разработчиков и компаний.
В версиях Composer 2.9.6 и 2.2.27 LTS исправлены ошибки с идентификаторами CVE-2026-40261 и CVE-2026-40176 . О выпуске сообщил Нильс Адерманн. По данным разработчиков, признаков эксплуатации обеих уязвимостей до публикации уведомления не обнаружили.
Обе ошибки находились в драйвере Perforce VCS и были связаны с некорректной обработкой значений при сборке shell-команд. CVE-2026-40176 затрагивала метод generateP4Command(). Через подставные параметры подключения, такие как порт, пользователь или клиент, злоумышленник мог встроить собственные команды в вредоносный composer.json. Уязвимость срабатывала даже на системах без установленного Perforce. Об ошибке сообщил saku0512.
Разработчики Composer выпустили обновление , которое устраняет сразу две уязвимости, способные привести к выполнению произвольных команд на машине пользователя. Проблема примечательна тем, что риск затрагивал не только тех, кто работает с Perforce, но и обычные установки Composer, где Perforce вообще не использовался.
Composer — менеджер зависимостей для PHP , который помогает подключать сторонние библиотеки, обновлять пакеты и собирать проект с нужными версиями компонентов. Инструмент широко используют и в небольших веб-приложениях, и в крупных сервисах, поэтому любые проблемы в Composer быстро выходят за рамки одной экосистемы и затрагивают большое число разработчиков и компаний.
В версиях Composer 2.9.6 и 2.2.27 LTS исправлены ошибки с идентификаторами CVE-2026-40261 и CVE-2026-40176 . О выпуске сообщил Нильс Адерманн. По данным разработчиков, признаков эксплуатации обеих уязвимостей до публикации уведомления не обнаружили.
Обе ошибки находились в драйвере Perforce VCS и были связаны с некорректной обработкой значений при сборке shell-команд. CVE-2026-40176 затрагивала метод generateP4Command(). Через подставные параметры подключения, такие как порт, пользователь или клиент, злоумышленник мог встроить собственные команды в вредоносный composer.json. Уязвимость срабатывала даже на системах без установленного Perforce. Об ошибке сообщил saku0512.