Какие версии Composer затронуты CVE-2026-40176 и CVE-2026-40261?

Затронуты: >=2.3 =2.0 <2.2.27. Обновляйтесь до 2.9.6 или 2.2.27+.

Есть ли известные эксплойты для уязвимостей Composer с Perforce?

На Packagist.org следов нет, но высокие CVSS позволяют собрать, если постараться.

Как обезопасить установки Composer прямо сейчас?

Патчьте немедленно, проверяйте composer.json на Perforce, доверенные источники, без --prefer-dist.

🕳️ Vulnerabilities & CVEs

[CVE-2026-40176] Уязвимости Composer позволяют выполнять команды

Q: Есть ли известные эксплойты для уязвимостей Composer с Perforce?

На Packagist.org следов нет, но высокие CVSS позволяют собрать, если постараться.

Q: Как обезопасить установки Composer прямо сейчас?

Патчьте немедленно, проверяйте composer.json на Perforce, доверенные источники, без --prefer-dist.

Разработчики на PHP привыкли считать Composer неприступной крепостью в управлении пакетами. Но две новые дыры с инъекцией команд рушат эту иллюзию: атакующие берут сервер под контроль — даже если Perforce не установлен.

CVE Watch Apr 15, 2026 3 min read

Read in: English 日本語 한국어 Русский Türkçe

Логотип PHP Composer с красным предупреждением об уязвимости и иконками выполнения команд

⚡ Key Takeaways

Две дыры с инъекцией команд (CVSS 7.8 и 8.8) в Composer позволяют выполнять произвольный код через вредоносные настройки Perforce — даже без установки Perforce. 𝕏
Патчи вышли: переходите на 2.9.6 или 2.2.27. Packagist отключил метаданные Perforce про запас. 𝕏
Эксплойтов в природе нет, но риски цепочки поставок требуют срочной проверки composer.json. 𝕏