HIGHCVE-2026-40261CVSS 8.8

Composer 存在通过恶意 Perforce 引用实现的命令注入

Q: 什么是 CVE-2026-40261 — 命令注入在 Composer 中？

CVE-2026-40261 是 Composer 中一个高危的命令注入漏洞，允许攻击者通过精心构造的源引用执行任意命令。该漏洞影响 Composer 1.0.0–>= 2.3.0, < 2.9.6 版本。

Q: 我是否受到 CVE-2026-40261 在 Composer 中的影响？

如果您正在使用 Composer 1.0.0–>= 2.3.0 或小于 2.9.6 的版本，则可能受到此漏洞的影响。请立即检查您的 Composer 版本并升级。

平台

php

组件

composer/composer

修复版本

2.3.1

1.0.1

2.9.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-40261 描述了 Composer 中一个高危的命令注入漏洞。该漏洞源于 Perforce::syncCodeBase() 方法在构建 shell 命令时未对 $sourceReference 参数进行适当的转义，允许攻击者通过包含 shell 元字符的精心构造的源引用注入任意命令。受影响的版本包括 1.0.0–>= 2.3.0 以及小于 2.9.6 的版本，建议尽快升级至 2.9.6 版本以缓解风险。

影响与攻击场景

攻击者可以利用此命令注入漏洞在 Composer 执行的上下文中执行任意操作系统命令。这可能导致敏感信息泄露、系统配置更改，甚至完全控制受影响的系统。由于 Composer 通常用于项目依赖管理，攻击者可能能够利用此漏洞在构建过程中注入恶意代码，从而影响整个应用程序的安全。该漏洞类似于 GHSA-wg36-wvj6-r67p / CVE-2026-40176 中 Perforce::generateP4Command() 方法的漏洞，进一步扩大了潜在的攻击面。攻击者无需安装 Perforce 即可利用此漏洞，增加了其可利用性。

利用背景

目前尚无公开的漏洞利用程序 (POC)，但该漏洞的严重性较高，且影响广泛，因此存在被利用的风险。该漏洞已于 2026 年 4 月 15 日发布。由于其高危性质，建议密切关注安全社区的动态，并及时采取缓解措施。漏洞的 CVSS 评分为 8.8，表明其具有较高的可利用性和潜在影响。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件composer/composer

供应商composer

影响范围修复版本

>= 2.3.0, < 2.9.6 – >= 2.3.0, < 2.9.62.3.1

>= 1.0.0, < 2.2.27 – >= 1.0.0, < 2.2.271.0.1

2.3.02.9.6

弱点分类 (CWE)

CWE-78 CWE-20

时间线

已保留2026-04-10
发布日期2026-04-15
修改日期2026-04-16
EPSS 更新日期2026-04-23

披露后-1天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将 Composer 升级至 2.9.6 或更高版本。如果升级不可行，可以考虑使用 Web 应用程序防火墙 (WAF) 或代理来过滤包含 shell 元字符的输入。此外，应审查 Composer 的配置，确保 Perforce 连接参数（端口、用户、客户端）来自可信来源，并进行适当的输入验证和转义。在升级后，请验证 Composer 的安装是否已成功更新，并检查系统日志中是否存在与命令注入相关的异常活动。

修复方法翻译中…

Actualice Composer a la versión 2.2.27 o superior (2.2 LTS) o a la versión 2.9.6 (mainline). Como alternativa, evite instalar dependencias desde el código fuente utilizando la opción --prefer-dist o la configuración preferred-install: dist, y solo utilice repositorios de Composer de confianza.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-40261 — 命令注入在 Composer 中？

CVE-2026-40261 是 Composer 中一个高危的命令注入漏洞，允许攻击者通过精心构造的源引用执行任意命令。该漏洞影响 Composer 1.0.0–>= 2.3.0, < 2.9.6 版本。

我是否受到 CVE-2026-40261 在 Composer 中的影响？

如果您正在使用 Composer 1.0.0–>= 2.3.0 或小于 2.9.6 的版本，则可能受到此漏洞的影响。请立即检查您的 Composer 版本并升级。

如何修复 CVE-2026-40261 在 Composer 中的漏洞？

最有效的修复方法是将 Composer 升级至 2.9.6 或更高版本。如果升级不可行，请考虑使用 WAF 或代理进行缓解。

CVE-2026-40261 是否正在被积极利用？

目前尚无公开的漏洞利用程序，但由于其高危性质，存在被利用的风险。建议密切关注安全社区的动态。

在哪里可以找到 Composer 官方关于 CVE-2026-40261 的公告？

请访问 Composer 的官方安全公告页面以获取更多信息：[https://github.com/composer/composer/security/advisories/GHSA-wg36-wvj6-r67p](https://github.com/composer/composer/security/advisories/GHSA-wg36-wvj6-r67p)