प्लेटफ़ॉर्म
php
घटक
composer/composer
में ठीक किया गया
2.3.1
1.0.1
2.9.6
CVE-2026-40261 Composer में एक कमांड इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण कमांड इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Composer के संस्करण 1.0.0–>= 2.3.0 और < 2.9.6 को प्रभावित करती है। इस समस्या को Composer संस्करण 2.9.6 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Composer के Perforce::syncCodeBase() विधि में $sourceReference पैरामीटर को ठीक से एस्केप न करने के कारण मनमाना कमांड इंजेक्ट करने की अनुमति देती है। एक तैयार स्रोत संदर्भ जिसमें शेल मेटाकैरेक्टर शामिल हैं, का उपयोग करके हमलावर सिस्टम पर कमांड निष्पादित कर सकते हैं, भले ही Perforce स्थापित न हो। इसके अतिरिक्त, Perforce::generateP4Command() विधि में भी समान समस्या है, जहां उपयोगकर्ता-प्रदत्त Perforce कनेक्शन पैरामीटर (पोर्ट, उपयोगकर्ता, क्लाइंट) को स्रोत URL फ़ील्ड से ठीक से एस्केप किए बिना शेल कमांड में इंटरपोलेट किया जाता है। यह हमलावरों को सिस्टम पर अनधिकृत क्रियाएं करने की अनुमति दे सकता है, जिससे डेटा हानि, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। यह भेद्यता GHSA-wg36-wvj6-r67p / CVE-2026-40176 के समान शोषण पैटर्न का अनुसरण करती है।
CVE-2026-40261 की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। इस भेद्यता के सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं, लेकिन इसकी उच्च गंभीरता और उपलब्ध POC के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। यह भेद्यता 2026-04-15 को प्रकाशित हुई थी।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40261 को कम करने के लिए, Composer को संस्करण 2.9.6 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके $sourceReference पैरामीटर में शेल मेटाकैरेक्टर के इंजेक्शन को रोकने का प्रयास कर सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि आपके Perforce कनेक्शन पैरामीटर सुरक्षित हैं और उपयोगकर्ता इनपुट से सीधे नहीं लिए जा रहे हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि Composer अब दुर्भावनापूर्ण कमांड को निष्पादित नहीं कर रहा है।
Actualice Composer a la versión 2.2.27 o superior (2.2 LTS) o a la versión 2.9.6 (mainline). Como alternativa, evite instalar dependencias desde el código fuente utilizando la opción --prefer-dist o la configuración preferred-install: dist, y solo utilice repositorios de Composer de confianza.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40261 Composer में एक कमांड इंजेक्शन भेद्यता है जो हमलावरों को दुर्भावनापूर्ण कमांड इंजेक्ट करने की अनुमति देती है, जिससे सिस्टम पर अनधिकृत क्रियाएं हो सकती हैं।
यदि आप Composer के संस्करण 1.0.0–>= 2.3.0 और < 2.9.6 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-40261 को ठीक करने के लिए, Composer को संस्करण 2.9.6 या उच्चतर में अपग्रेड करें।
CVE-2026-40261 के सक्रिय शोषण के कोई ज्ञात अभियान नहीं हैं, लेकिन इसकी उच्च गंभीरता और उपलब्ध POC के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।
आप आधिकारिक Composer सलाहकार CVE-2026-40261 के लिए Composer वेबसाइट या संबंधित सुरक्षा बुलेटिन में पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।