اكتشاف ثغرات جديدة في Composer الخاص بـ PHP تتيح تنفيذ أوامر عشوائية — وتم إصدار تحديثات لإصلاحها

تم الكشف عن ثغرتين أمنيتين خطيرتين في أداة Composer، وهي مدير حزم للغة PHP، حيث يمكن في حال استغلالهما بنجاح أن تؤديا إلى تنفيذ أوامر عشوائية على النظام.

وقد تم تصنيف هذه الثغرات على أنها من نوع حقن الأوامر (Command Injection)، وتؤثر على برنامج التحكم في الإصدارات Perforce VCS. وفيما يلي تفاصيل الثغرتين:

• CVE-2026-40176 (درجة الخطورة: 7.8)
  ثغرة ناتجة عن عدم التحقق الصحيح من المدخلات، تتيح للمهاجم الذي يتحكم في إعدادات مستودع (repository) داخل ملف composer.json خبيث — يحتوي على تعريف لمستودع Perforce — حقن أوامر عشوائية، مما يؤدي إلى تنفيذها بصلاحيات المستخدم الذي يقوم بتشغيل Composer.
• CVE-2026-40261 (درجة الخطورة: 8.8)
  ثغرة ناتجة عن عدم معالجة (Escaping) المدخلات بشكل كافٍ، تسمح للمهاجم بحقن أوامر عشوائية عبر مرجع مصدر (source reference) مُصمم خصيصًا يحتوي على رموز أوامر النظام (Shell Metacharacters).

وفي كلتا الحالتين، أوضح المطورون أن Composer قد يقوم بتنفيذ هذه الأوامر المحقونة حتى في حال عدم تثبيت Perforce VCS على النظام.

الإصدارات المتأثرة:

• من الإصدار 2.3 إلى أقل من 2.9.6 (تم إصلاحها في 2.9.6)
• من الإصدار 2.0 إلى أقل من 2.2.27 (تم إصلاحها في 2.2.27)

التوصيات الأمنية:

في حال تعذر تثبيت التحديثات فورًا، يُنصح باتباع الإجراءات التالية:

• فحص ملفات composer.json قبل تشغيل Composer.
• التأكد من أن إعدادات Perforce تحتوي على قيم صحيحة وآمنة.
• استخدام مستودعات Composer موثوقة فقط.
• تشغيل Composer على مشاريع من مصادر موثوقة.
• تجنب تثبيت الاعتماديات باستخدام الخيار –prefer-dist أو الإعداد preferred-install: dist.

وأفادت Composer بأنها قامت بفحص موقع Packagist.org ولم تجد أي دليل على استغلال هذه الثغرات من قبل جهات تهديد عبر نشر حزم تحتوي على معلومات Perforce خبيثة. كما يُتوقع إصدار تحديث جديد لعملاء Private Packagist Self-Hosted.

وأضافت الشركة:

“كإجراء احترازي، تم تعطيل نشر بيانات مصادر Perforce على Packagist.org منذ يوم الجمعة 10 أبريل 2026. ويجب تحديث Composer فورًا دون تأخير.”