أعلن فريق تطوير Composer، مدير الحزم الشهير للغة PHP، عن اكتشاف ثغرتين أمنيتين خطيرتين من نوع Command Injection تؤثران على مكوّن Perforce VCS Driver، وقد تم إصدار تحديثات عاجلة لمعالجتهما. هذه الثغرات تتيح للمهاجمين، في حال استغلالها بنجاح، تنفيذ أوامر عشوائية في سياق المستخدم الذي يقوم بتشغيل Composer.
تفاصيل الثغرات
- CVE-2026-40176 (درجة خطورة 7.8): ناجمة عن ضعف في التحقق من صحة المدخلات، حيث يمكن لمهاجم يسيطر على إعدادات المستودع عبر ملف composer.json خبيث أن يحقن أوامر عشوائية تؤدي إلى تنفيذها مباشرة.
- CVE-2026-40261 (درجة خطورة 8.8): ناتجة عن ضعف في آلية الهروب من الرموز الخاصة، تسمح بحقن أوامر عبر مرجع مصدر يحتوي على رموز Shell، ما يؤدي إلى تنفيذها حتى في حالة عدم تثبيت Perforce VCS.
الإصدارات المتأثرة
- من 2.3 وحتى أقل من 2.9.6 (تم الإصلاح في 2.9.6).
- من 2.0 وحتى أقل من 2.2.27 (تم الإصلاح في 2.2.27).
توصيات أمنية عاجلة
ينصح المطورون بتحديث Composer فوراً إلى الإصدارات الآمنة. وفي حال تعذر التحديث الفوري، يجب:
- فحص ملفات composer.json والتأكد من أن الحقول المتعلقة بـPerforce تحتوي على قيم صحيحة.
- استخدام مستودعات موثوقة فقط.
- تشغيل أوامر Composer على مشاريع من مصادر موثوقة.
- تجنب استخدام خيار “–prefer-dist” أو إعداد “preferred-install: dist” عند تثبيت الحزم.
إجراءات إضافية من Packagist
أكد فريق Composer أنه قام بمسح منصة Packagist.org ولم يجد أي دليل على استغلال الثغرات عبر نشر حزم تحتوي على بيانات Perforce خبيثة. ومع ذلك، تم تعليق نشر بيانات المصدر الخاصة بـPerforce على المنصة منذ 10 أبريل 2026 كإجراء احترازي. كما سيتم إصدار تحديثات خاصة لعملاء Private Packagist Self-Hosted.
هذه الثغرات تبرز مجدداً أهمية التحقق من المدخلات في أنظمة إدارة الحزم، حيث يمكن أن تتحول ملفات التكوين البسيطة إلى بوابة لتنفيذ أوامر خطيرة إذا لم يتم التعامل معها بشكل آمن.
