Composer schließt kritische Sicherheitslücken in Perforce-Treiber

Zwei neu entdeckte Sicherheitslücken ermöglichen die Ausführung von beliebigem Code auf betroffenen Systemen. Die Maintainer haben heute dringende Patches veröffentlicht.

Die kritischen Schwachstellen stecken im Treiber für das Versionskontrollsystem Perforce. Angreifer könnten über manipulierte Konfigurationsdateien die volle Kontrolle über den Benutzerkontext erlangen. Das betrifft nicht nur Entwicklungsrechner, sondern auch automatisierte Build-Systeme und CI-Pipelines.

Während Entwickler ihre Systeme gegen solche komplexen Code-Injektionen absichern, rücken auch die privaten Endgeräte immer stärker ins Visier von Cyberkriminellen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone in wenigen Minuten mit 5 einfachen Schritten gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Zwei gefährliche Befehlsinjektionen

Die Lücken werden unter den Kennungen CVE-2026-40176 und CVE-2026-40261 geführt. Beide ermöglichen Befehlsinjektionen und erhielten hohe CVSS-Scores von 7,8 und 8,8.

Die erste Schwachstelle resultiert aus unzureichender Eingabevalidierung. Ein Angreifer mit Kontrolle über eine Repository-Konfiguration könnte beliebige Systembefehle einschleusen. Das passiert, wenn in der Projektdatei ein Perforce-Repository deklariert wird.

Die zweite Lücke gilt als noch gefährlicher. Hier löst unzureichendes Escaping von Werten bei der Quellcode-Synchronisation das Problem. Brisant: Composer kann die injizierten Befehle selbst dann ausführen, wenn Perforce gar nicht installiert ist.

So schützen Sie sich jetzt

Die Entwickler haben die Sicherheitsversionen 2.9.6 und 2.2.27 (LTS) veröffentlicht. Alle Installationen zwischen Version 2.0 und 2.9.5 sind potenziell gefährdet und müssen sofort aktualisiert werden.

Für Administratoren, die nicht sofort patchen können, gibt es Übergangslösungen. Eine zentrale Empfehlung: Installieren Sie Abhängigkeiten bevorzugt über Distributions-Archive statt direkt aus dem Quellcode. Prüfen Sie Projektdateien zudem manuell auf verdächtige Einträge in Perforce-Feldern.

Packagist.org, die zentrale PHP-Paketplattform, hat bereits präventiv gehandelt. Die Veröffentlichung von Metadaten mit Perforce-Quellen wurde deaktiviert. Scans zeigten keine Anzeichen für bereits hochgeladene bösartige Pakete.

Warum das auch Endnutzer betrifft

Nicht nur Server und Build-Systeme, sondern auch alltägliche Anwendungen wie Online-Banking oder WhatsApp auf dem Smartphone sind durch die zunehmende Professionalisierung der Hacker gefährdet. Erfahren Sie in diesem kostenlosen Experten-Leitfaden, wie Sie Ihr mobiles Gerät effektiv vor Viren und Internet-Kriminalität schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Composer ist zwar ein Entwicklertool, doch die Sicherheitslücken haben direkte Auswirkungen auf Konsumenten. Ein Großteil der Backends moderner Apps basiert auf PHP-Frameworks, die ihre Abhängigkeiten über Composer verwalten.

Ein kompromittierter Build-Server könnte schädlichen Code in legitime Anwendungen einschleusen. Diese würden später von Millionen Nutzern heruntergeladen. Die aktuelle Situation zeigt erneut die Fragilität moderner Software-Ökosysteme.

Die schnelle Reaktion der Maintainer zeigt, dass die Sicherheitsmechanismen in der PHP-Community greifen. Doch die Herausforderung bleibt: Weltweit verteilte Installationen müssen zeitnah aktualisiert werden. Für die Zukunft diskutieren Experten eine stärkere Automatisierung von Sicherheitsupdates in Entwicklungsumgebungen.

de | boerse | 69168233 |