تنبيه أمني: ثغرات جديدة فـ PHP Composer كتمكن من تنفيذ أوامر عشوائية (Arbitrary Command Execution)
تنبيه أمني: ثغرات جديدة فـ PHP Composer كتمكن من تنفيذ أوامر عشوائية (Arbitrary Command Execution)
المفيد والمختصر (TL;DR): تم اكتشاف جوج ثغرات خطيرة بزاف (CVE-2026-40176 و CVE-2026-40261) فـ Composer، اللي هو مدير الحزم (package manager) ديال PHP. هاد الثغرات كيسمحو بتنفيذ أوامر عشوائية من خلال إعدادات "Perforce VCS" خبيثة. التحديثات خرجات دبا، وكنصحو المستعملين يترقاو (update) للنسخ 2.9.6 أو 2.2.27 فـ أقرب وقت.
المنظومة ديال PHP كتشهد تحديث أمني مهم بزاف من بعد ما تكتشفو جوج ثغرات خطيرين فـ Composer، اللي هو الأداة الأساسية اللي كيخدمو بها المطورين ديال PHP باش يسيرو الحزم ديالهم. هاد الثغرات، إلا تم الاستغلال ديالهم، يقدر المهاجم ينفذ أوامر (commands) فـ السيستيم ديال المستعمل.
على حسب التقارير الأمنية، المشكل كاين فـ الطريقة كيفاش Composer كيتعامل مع الـ Perforce Version Control Software (VCS) driver. والمهم فهادشي هو أن الخطر كيبقى كاين حتى إلا كان المستعمل ما منصبش (not installed) Perforce فـ الماكينة ديالو.
فهم هاد الثغرات
بجوج هاد الثغرات كيتصنفو كـ "Command Injection" ناتجة على عدم التحقق الصحيح من البيانات اللي كيدخلها المستعمل (improper input validation).
CVE-2026-40176 (النتيجة ديال CVSS: 7.8)
هاد الثغرة متعلقة بضعف التحقق من البيانات فـ الإعدادات ديال المستودع (repository configurations). إلا قدر المهاجم يتحكم فـ شي ملف composer.json — بالضبط عن طريق إعلان مستودع "Perforce VCS" خبيث — يقدر يزرع أوامر عشوائية. هاد الأوامر كتنفذ بنفس الصلاحيات ديال المستعمل اللي خدام بـ Composer.
CVE-2026-40261 (النتيجة ديال CVSS: 8.8)
هادي كتعتبر أخطر حيت النقطة ديال CVSS طالعة بزاف. المشكل جاي من الهروب غير الكافي (inadequate escaping) للرموز الخاصة بـ shell (metacharacters). المهاجم يقدر يصاوب شي "source reference" فيه هاد الرموز باش يخلي الأوامر تتنفذ.
النسخ اللي فيهم المشكل
هاد الثغرات كأثرو على جوج فروع رئيسية ديال Composer:
- من نسخة 2.3 حتى لـ 2.9.5: تم الإصلاح فـ النسخة 2.9.6
- من نسخة 2.0 حتى لـ 2.2.26: تم الإصلاح فـ النسخة 2.2.27
رد فعل Packagist.org والوضعية الحالية
من بعد ما تكتشف هاد المشكل، الناس اللي مقابلين Composer داروا فحص شامل لـ Packagist.org (المستودع العمومي الرئيسي ديال حزم PHP). ولحسن الحظ، مالقاو حتى دليل بلي شي حد استغل هاد الثغرات باش ينشر حزم خبيثة.
كإجراء احترازي، تم توقيف نشر البيانات الوصفية (metadata) ديال Perforce فـ Packagist.org من الجمعة، 10 أبريل 2026. ومن جهة أخرى، كاين تحديث كيتوجد دبا للناس اللي خدامين بـ Private Packagist Self-Hosted.
خطوات الإصلاح والوقاية
أهم نصيحة هي تحديث Composer دبا للنسخة 2.9.6 أو 2.2.27.
إلا كان صعيب دير التحديث دبا، الشركات والمطورين خاصهم يديرو هاد الإجراءات الدفاعية:
- الفحص اليدوي: راجع مزيان ملفات
composer.jsonقبل ما تخدم بها، وبالضبط تأكد بلي أي خانة عندها علاقة بـ Perforce فيها قيم صحيحة وماشي مشبوهة. - المصادر الموثوقة فقط: خدم بأوامر Composer غير فـ المشاريع اللي جاية من مصادر موثوقة واستعمل مستودعات معروفة.
- تعديل الإعدادات: حاول تجنب تخدم بـ
--prefer-distflag أو الإعداد"preferred-install: dist"حتى دير التحديث للبرنامج.
المطورين ديال الأداة كأكدو بلي واخا كاينين حمايات فـ Packagist.org، النسخ ديال Composer اللي كاينين فـ الحواسيب ديال الناس كتبقى معرضة للخطر حتى يتم التحديث ديالها.
المصدر: The Hacker News - New PHP Composer Flaws Enable Arbitrary Command Execution