Nuove Vulnerabilità in PHP Composer: Rischio di Esecuzione di Comandi Arbitrari — Rilasciati i Patch Due vulnerabilità di alta gravità recentemente scoperte nel popolare gestore di pacchetti PHP, Composer, pongono un serio rischio per la sicurezza delle applicazioni. Questi difetti,…
Nuove Vulnerabilità in PHP Composer: Rischio di Esecuzione di Comandi Arbitrari — Rilasciati i Patch
Due vulnerabilità di alta gravità recentemente scoperte nel popolare gestore di pacchetti PHP, Composer, pongono un serio rischio per la sicurezza delle applicazioni. Questi difetti, se sfruttati da attaccanti, possono permettere l’esecuzione di comandi arbitrari sul sistema, con potenziali conseguenze devastanti.
Dettagli sulle Vulnerabilità
Le vulnerabilità riscontrate sono contrassegnate con i codici CVE-2026-40176 e CVE-2026-40261. Entrambe riguardano il driver VCS di Perforce e sono classificate come difetti di iniezione di comandi.
-
CVE-2026-40176 (punteggio CVSS: 7.8): Questo problema deriva da una validazione inadeguata dell’input. Un attaccante, controllando la configurazione di un repository all’interno di un file composer.json malformato, potrebbe iniettare comandi dannosi. Ciò permetterebbe l’esecuzione di questi comandi nel contesto dell’utente che gestisce Composer.
-
CVE-2026-40261 (punteggio CVSS: 8.8): Ancora una volta, si tratta di una vulnerabilità di validazione dell’input, ma stavolta collegata a un’errata gestione dell’escape di caratteri. Ciò consente agli attaccanti di inserire comandi attraverso riferimenti a sorgenti craftati che contengono caratteri speciali della shell.
Va notato che in entrambi i casi, Composer eseguirà i comandi iniettati anche se il driver VCS di Perforce non è installato. Questa grave falla di sicurezza è stata portata alla luce degli utenti con un advisory ufficiale.
Versioni A Rischio e Misure di Sicurezza Consigliate
Le versioni di Composer potenzialmente vulnerabili includono:
- Versioni da 2.3 a inferiori a 2.9.6 (è stata rilasciata la correzione nella versione 2.9.6)
- Versioni da 2.0 a inferiori a 2.2.27 (risolto con la versione 2.2.27)
Se un aggiornamento immediato non è possibile, si raccomanda di verificare i file composer.json prima di eseguire Composer, assicurandosi che i campi associati a Perforce contengano valori validi. Inoltre, è opportuno utilizzare solo repository di Composer di fiducia, eseguire comandi su progetti conosciuti e evitare di installare dipendenze usando l’impostazione “–prefer-dist”.
Impatto su Aziende e Utenti Italiani
Le aziende italiane che utilizzano PHP e Composer, in particolare quelle attive nel settore tecnologico e delle applicazioni web, devono prestare particolare attenzione. L’impatto di queste vulnerabilità potrebbe rivelarsi critico, metterebbe a rischio non solo i sistemi interni, ma anche i dati dei clienti. È fondamentale adottare un approccio proattivo nella sicurezza informatica, implementando le patch e sospendendo l’uso di repository sospetti.
Composer ha recentemente effettuato una scansione di Packagist.org, i cui risultati non hanno mostrato segni di sfruttamento delle vulnerabilità da parte di attori malevoli. Tuttavia, come misura precauzionale, la pubblicazione dei metadati sorgente di Perforce è stata disabilitata su Packagist.org dal 10 aprile 2026.
Conclusione
Per garantire la sicurezza delle proprie applicazioni, è fondamentale che gli sviluppatori e le aziende aggiornino immediatamente Composer. In un’epoca in cui la sicurezza informatica è più importante che mai, anticipare i rischi e adottare le necessarie misure mitigative è essenziale per proteggere i propri sistemi e dati. Se operi nel mondo dello sviluppo software, non sottovalutare questo avviso: l’implementazione di patch tempestive è un passo cruciale nella salvaguardia della tua infrastruttura.
