文章总结： PHPComposer包管理器存在两个高危漏洞CVE-2026-40175（CVSS7.8）和CVE-2026-40261（CVSS8.8），攻击者可通过恶意composer.json文件注入任意命令执行。影响版本为2.3-2.9.5和2.0-2.2.26，已发布2.9.6/2.2.27修复。建议立即更新，若无法更新需检查composer.json有效性、仅使用可信仓库并避免–prefer-dist选项。Packagist.org已禁用Perforce元数据发布。 综合评分： 85 文章分类： 漏洞分析,威胁情报,供应链安全,应用安全,解决方案

PHP Composer 多个新漏洞可导致任意命令执行

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年4月15日 18:19 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

PHP的包管理器 Composer 中存在两个高危漏洞，如遭成功利用可导致任意命令执行。

这两个漏洞影响 Perforce VCS（版本控制软件），简述如下：

• CVE-2026-40175（CVSS评分7.8）是一个输入验证不当漏洞，可导致攻击者利用恶意 composer.json 中的Perforce仓库配置注入任意命令，在运行Composer的用户上下文中执行命令。
• CVE-2026-40261（CVSS评分8.8）：因转义不足导致的输入验证漏洞，攻击者可通过包含shell元字符的构造源引用注入任意命令。

维护者指出，即使系统未安装Perforce VCS，Composer仍会执行上述注入命令。这两个漏洞影响如下版本：

• >= 2.3 且 < 2.9.6（已在2.9.6中修复）
• >= 2.0 且 < 2.2.27（已在2.2.27中修复）

若无法立即打补丁，建议在运行Composer前检查composer.json文件，确保Perforce相关字段包含有效值；仅使用受信任的Composer仓库；仅对来自可信源的项目运行Composer命令；避免使用 –prefer-dist 选项或preferred-install: dist配置。

Composer表示扫描Packagist.org后并未发现攻击者通过发布包含恶意Perforce信息的软件包利用上述漏洞的证据。针对自托管Private Packagist用户，预计将发布新版本。

Composer 表示，作为预防措施，自2026年4月10日（周五）起，Packagist.org已禁用Perforce源元数据的发布。无论何种情况，建议用户立即更新Composer安装。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

这个严重的PHP漏洞正遭大规模利用

PHPFusion 开源 CMS 中存在严重漏洞

热门开源Dompdf PHP 库中存在严重漏洞

原文链接

https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《PHP Composer 多个新漏洞可导致任意命令执行》