PHP的包管理器 Composer 中存在两个高危漏洞,如遭成功利用可导致任意命令执行。这两个漏洞影响 Perforce VCS(版本控制软件),简述如下:
维护者指出,即使系统未安装Perforce VCS,Composer仍会执行上述注入命令。这两个漏洞影响如下版本:
若无法立即打补丁,建议在运行Composer前检查composer.json文件,确保Perforce相关字段包含有效值;仅使用受信任的Composer仓库;仅对来自可信源的项目运行Composer命令;避免使用 --prefer-dist 选项或preferred-install: dist配置。
Composer表示扫描Packagist.org后并未发现攻击者通过发布包含恶意Perforce信息的软件包利用上述漏洞的证据。针对自托管Private Packagist用户,预计将发布新版本。
Composer 表示,作为预防措施,自2026年4月10日(周五)起,Packagist.org已禁用Perforce源元数据的发布。无论何种情况,建议用户立即更新Composer安装。