นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ร้ายแรง 2 รายการใน Composer ซึ่งเป็น package manager สำหรับ PHP โดยช่องโหว่เหล่านี้เป็นประเภท command injection ที่ส่งผลต่อไดรเวอร์ Perforce VCS หากถูกเอ็กซ์พลอยต์สำเร็จ อาจทำให้แฮกเกอร์สามารถรันคำสั่งใดๆ ก็ได้บนระบบของผู้ใช้ที่รัน Composer

ช่องโหว่ทั้งสองมีหมายเลข CVE-2026-40176 (คะแนน CVSS 7.8) และ CVE-2026-40261 (คะแนน CVSS 8.8) ซึ่งเกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม แม้ระบบจะไม่ได้ติดตั้ง Perforce VCS ก็ตาม ผู้ดูแล Composer แนะนำให้อัปเดตไปยังเวอร์ชัน 2.9.6 หรือ 2.2.27 ทันที หากยังอัปเดตไม่ได้ ควรตรวจสอบไฟล์ composer.json ก่อนรัน และใช้เฉพาะ repository ที่น่าเชื่อถือ

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Composer – โปรแกรมจัดการแพ็กเกจสำหรับภาษา PHP
• Command injection – เทคนิคการโจมตีที่แทรกคำสั่งอันตรายเข้าไปในระบบ
• Perforce VCS – ซอฟต์แวร์ควบคุมเวอร์ชัน (version control software)
• CVSS – ระบบให้คะแนนความรุนแรงของช่องโหว่ด้านความปลอดภัย
• composer.json – ไฟล์กำหนดค่าสำหรับโปรเจกต์ที่ใช้ Composer