كشف خبراء أمنيون عن ثغرتين خطيرتين في مدير حزم PHP Composer تتيحان للمهاجمين تنفيذ أوامر عشوائية على الأنظمة المتأثرة، مما يهدد آلاف المشاريع البرمجية حول العالم.
ما هي ثغرات PHP Composer الأمنية الجديدة؟
تتعلق الثغرتان الجديدتان بـ حقن الأوامر في برنامج Composer، وهما تصنيفان ضمن درجة الخطورة العالية. تستهدفان بشكل مباشر مشغّل Perforce VCS الخاص بأنظمة التحكم في الإصدارات.
ووفقاً لتقرير تيكبامين، فإن الملفت أن Composer ينفّذ هذه الأوامر المُحقونة حتى لو لم يكن Perforce VCS مثبتاً على النظام، مما يوسع نطاق التأثير بشكل ملحوظ.
ما الإصدارات المتأثرة بثغرات Composer؟
تؤثر الثغرتان على إصدارات محددة من مدير الحزم، ويُنصح جميع المطورين بالتحديث فوراً إلى أحدث إصدار تم إصداره لمعالجة المشكلة.
الإجراءات الاحترازية المطلوبة
في حال تعذّر التحديث الفوري، يُنصح باتخاذ التدابير التالية:
- فحص ملفات composer.json قبل تشغيل Composer
- التحقق من أن حقول Perforce تحتوي قيماً صالحة
- استخدام مستودعات موثوقة فقط
- تشغيل أوامر Composer على مشاريع من مصادر موثوقة
- تجنب تثبيت التبعيات عبر "--prefer-dist" أو إعداد "preferred-install: dist"
هل تم استغلال ثغرات Composer فعلياً؟
أعلن فريق Composer أنه أجرى مسحاً شاملاً لموقع Packagist.org ولم يعثر على أي دليل على استغلال الثغرتين من قبل جهات تهديدية عبر نشر حزم تحتوي على معلومات Perforce خبيثة.
كما أوضح فريق تيكبامين أنه كإجراء احترازي، تم تعطيل نشر البيانات الوصفية لمصدر Perforce على Packagist.org منذ يوم الجمعة 10 أبريل 2026.
يُتوقع إصدار تحديث جديد لعملاء Private Packagist Self-Hosted قريباً، ويؤكد المطورون على ضرورة تحديث جميع تثبيتات Composer فوراً بغض النظر عن حالة الاستخدام.
