PHPのパッケージマネージャーである**Composer**において、2件の高深刻度セキュリティ脆弱性が開示されました。これらの脆弱性が悪用された場合、任意のコマンド実行につながる可能性があります。  ### 脆弱性の詳細 これらの脆弱性は、Perforce VCS（バージョン管理ソフトウェア）ドライバーに影響を与えるコマンドインジェクションの脆弱性です。以下に詳細を示します。 * **CVE-2026-40176** (CVSSスコア: 7.8): この不適切な入力検証の脆弱性により、悪意のある`composer.json`ファイルでPerforce VCSリポジトリを宣言するリポジトリ構成を制御する攻撃者は、任意のコマンドをインジェクションできます。これにより、Composerを実行しているユーザーのコンテキストでコマンドが実行されます。 * **CVE-2026-40261** (CVSSスコア: 8.8): この不適切な入力検証の脆弱性は、不十分なエスケープ処理に起因します。これにより、攻撃者はシェルメタ文字を含む細工されたソース参照を通じて任意のコマンドをインジェクションできます。 特筆すべきは、**Composer**のメンテナーは、Perforce VCSがインストールされていなくても、インジェクションされたコマンドは実行されると述べています。 ### 影響を受けるバージョン 以下のバージョンが影響を受けます。 * `>= 2.3, < 2.9.6` (バージョン 2.9.6 で修正) * `>= 2.0, < 2.2.27` (バージョン 2.2.27 で修正) ### 緩和策 直ちにパッチを適用できない場合は、以下の手順が推奨されます。 * Composerを実行する前に`composer.json`ファイルを検査してください。 * Perforce関連のフィールドに有効な値が含まれていることを確認してください。 * 信頼できるComposerリポジトリのみを使用してください。 * 信頼できるソースからのプロジェクトでComposerコマンドを実行してください。 * `--prefer-dist`オプションまたは`preferred-install: dist`設定を使用して依存関係をインストールすることは避けてください。 ### 悪用は検出されず（現時点） **Composer**はPackagist.orgをスキャンした結果、悪意のあるPerforce情報を含むパッケージを公開している脅威アクターによる積極的な悪用を示す証拠は見つからなかったと報告しています。Private Packagist Self-Hostedのお客様向けの新しいリリースが予定されています。 「予防措置として、Packagist.orgでのPerforceソースメタデータの公開は2026年4月10日金曜日から無効になっています」と述べています。「Composerのインストールは、いずれにしても直ちに更新する必要があります。」