CVE-2026-40176

CVE HIGH

Composer Perforce VCS ドライバのコマンドインジェクション

GHSA-wg36-wvj6-r67p

種別 CVE

影響を受けるパッケージ composer/composer

影響を受けるバージョン

>= 2.3, < 2.9.6>= 1.0, < 2.2.27

修正済みバージョン

2.9.62.2.27

CVSS

7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE

CWE-20CWE-78

公開日 2026-04-14

概要

Composer の Perforce VCS ドライバにおけるコマンドインジェクション脆弱性。Perforce::generateP4Command() メソッドが、Perforce 接続パラメータ（ポート・ユーザー・クライアント）をシェルコマンド文字列に適切なエスケープなしで展開していた。Perforce VCS リポジトリを宣言する悪意ある composer.json を使用することで、Perforce がインストールされていない環境でも任意コマンドの実行が可能になる。

Advisoryを見る ↗ PoC ↗