Zwei sicherheitsrelevante Schwachstellen mit hoher Schwere wurden in **Composer**, einem Paketmanager für PHP, bekannt. Bei erfolgreicher Ausnutzung könnten diese zur Ausführung beliebiger Befehle führen.  ### Details zu den Schwachstellen Die Schwachstellen sind Command Injection-Fehler, die den Perforce VCS (Version Control Software)-Treiber betreffen. Hier ist eine Aufschlüsselung: * **CVE-2026-40176** (CVSS-Score: 7.8): Diese Schwachstelle aufgrund unzureichender Eingabevalidierung ermöglicht es einem Angreifer, der eine Repository-Konfiguration in einer bösartigen `composer.json`-Datei kontrolliert, die ein Perforce VCS-Repository deklariert, beliebige Befehle einzuschleusen. Dies führt zur Befehlsausführung im Kontext des Benutzers, der Composer ausführt. * **CVE-2026-40261** (CVSS-Score: 8.8): Diese Schwachstelle aufgrund unzureichender Eingabevalidierung resultiert aus unzureichender Escapierung. Sie ermöglicht es einem Angreifer, beliebige Befehle über eine präparierte Quellreferenz einzuschleusen, die Shell-Metazeichen enthält. Bemerkenswerterweise gaben die **Composer**-Maintainer an, dass die eingeschleusten Befehle auch dann ausgeführt würden, wenn Perforce VCS nicht installiert sei. ### Betroffene Versionen Die folgenden Versionen sind betroffen: * `>= 2.3, < 2.9.6` (Behoben in Version 2.9.6) * `>= 2.0, < 2.2.27` (Behoben in Version 2.2.27) ### Abhilfemaßnahmen Wenn eine sofortige Patches nicht möglich ist, werden die folgenden Schritte empfohlen: * Überprüfen Sie `composer.json`-Dateien, bevor Sie Composer ausführen. * Stellen Sie sicher, dass Perforce-bezogene Felder gültige Werte enthalten. * Verwenden Sie nur vertrauenswürdige Composer-Repositories. * Führen Sie Composer-Befehle für Projekte aus vertrauenswürdigen Quellen aus. * Vermeiden Sie die Installation von Abhängigkeiten mit der Option `--prefer-dist` oder der Konfigurationseinstellung `preferred-install: dist`. ### Keine Ausnutzung entdeckt (bisher) **Composer** berichtete, dass Packagist.org gescannt wurde und keine Beweise für eine aktive Ausnutzung durch Bedrohungsakteure gefunden wurden, die Pakete mit bösartigen Perforce-Informationen veröffentlichen. Für Private Packagist Self-Hosted-Kunden wird eine neue Version erwartet. "Vorsorglich wurde die Veröffentlichung von Perforce-Quellmetadaten auf Packagist.org seit Freitag, dem 10. April 2026, deaktiviert", hieß es. "Composer-Installationen sollten unabhängig davon sofort aktualisiert werden."