プラットフォーム
php
コンポーネント
composer/composer
修正版
2.3.1
1.0.1
2.9.6
CVE-2026-40176は、PHPのComposerパッケージマネージャにおいて、コマンドインジェクションの脆弱性です。攻撃者は、悪意のあるcomposer.jsonファイルを通じて、Composerを実行しているユーザーのコンテキストで任意のコマンドを実行できる可能性があります。この脆弱性は、Composerのバージョン2.3から2.9.5までの範囲に影響を与え、2.9.6で修正されました。
この脆弱性は、攻撃者がComposerが実行されている環境で任意のコマンドを実行できることを意味します。攻撃者は、Perforceリポジトリの設定を悪用し、ポート、ユーザー、クライアントなどのPerforce接続パラメータを介してコマンドを注入できます。Composerは、Perforceがインストールされていなくても、これらの注入されたコマンドを実行します。これにより、機密情報の窃取、システムの改ざん、さらにはシステムの完全な制御といった深刻な影響を引き起こす可能性があります。特に、Composerをルートcomposer.jsonファイルで利用している環境は危険です。
CVE-2026-40176は、2026年4月15日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者は、composer.jsonファイルを通じて、Composerの実行環境にアクセスし、システムを侵害する可能性があります。
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
この脆弱性への最良の対策は、Composerをバージョン2.9.6以降にアップデートすることです。アップデートできない場合は、Perforceリポジトリの設定を厳密に管理し、信頼できないソースからのcomposer.jsonファイルの使用を避けてください。WAF(Web Application Firewall)を導入し、不審なコマンド実行を検知・ブロックすることも有効です。また、Composerの実行ユーザーの権限を最小限に抑えることで、影響範囲を限定できます。
Composer をバージョン 2.2.27 以降 (2.2 LTS) またはバージョン 2.9.6 (mainline) にアップデートして、コマンドインジェクションの脆弱性を軽減してください。 信頼できない composer.json ファイルを持つプロジェクトで Composer を使用することを避けてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40176は、Composer 2.3~2.9.5において、Perforce接続パラメータの不適切なエスケープにより発生するコマンドインジェクションの脆弱性です。攻撃者は、composer.jsonファイルを通じて任意のコマンドを実行できます。
Composerのバージョンが2.3~2.9.5を使用している場合は、影響を受けます。バージョン2.9.6以降にアップデートすることで、この脆弱性を修正できます。
Composerをバージョン2.9.6以降にアップデートしてください。アップデートできない場合は、composer.jsonファイルの設定を厳重に管理し、WAFの導入を検討してください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
Composerの公式アドバイザリは、[https://github.com/composer/composer/pull/12764](https://github.com/composer/composer/pull/12764)で確認できます。
CVSS ベクトル