Siber Güvenlik

Acil! Yeni PHP Composer Açıkları Kritik Komut İcrasına Yol Açıyor

teknomers
teknomers

Composer Güvenlik Açıkları Hakkında Önemli Bilgilendirme

PHP paket yöneticisi Composer’da, kötüye kullanıldığında rastgele komut çalıştırmaya neden olabilecek iki yüksek öncelikli güvenlik açığı ortaya çıkmıştır. Bu açıklar, özellikle Perforce Versiyon Kontrol Sistemi (VCS) sürücüsünü etkileyerek kritik bir güvenlik riski oluşturuyor.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik açıkları, Perforce VCS sürücüsü için tasarlanmış komut enjeksiyonu hatalarından kaynaklanmaktadır. Detaylar aşağıdaki gibi tanımlanmıştır:

  • CVE-2026-40176 (CVSS puanı: 7.8) – Kötü girdi doğrulaması nedeniyle, bir saldırgan kötü niyetli bir composer.json dosyasıyla depolama yapılandırmasını kontrol ediyorsa rasgele komutlar enjekte edebilir. Bu durum, Composer’ı çalıştıran kullanıcının bağlamında komutların yürütülmesine neden olabilir.
  • CVE-2026-40261 (CVSS puanı: 8.8) – Yetersiz kaçış işlemleri sonucunda, bir saldırganın kabuk metakarakterleri içeren özel bir kaynak referansı aracılığıyla rasgele komutlar enjekte etmesine imkân tanıyan bir güvenlik açığıdır.

Her iki durumda da, Composer bu enjekte edilmiş komutları, Perforce VCS kurulu olmasa dahi çalıştırmaktadır.

Etkilenen Sistemler

Aşağıdaki Composer sürümleri etkilenmektedir:
–  Kullanıcıların bir an önce güncellemelerini sağlamaları önemlidir. 

Çözüm ve Korunma

Eğer hemen bir yamanın uygulanması mümkün değilse, önerilen bazı önlemler şunlardır:

  • Composer çalıştırmadan önce composer.json dosyalarını dikkatlice inceleyin.
  • Perforce ile ilgili alanların geçerli değerler içerdiğinden emin olun.
  • Sadece güvenilir Composer havuzlarını kullanın.
  • Güvenilir kaynaklardan gelen projeler üzerinde Composer komutları çalıştırın.
  • Bağımlılıkları yüklerken --prefer-dist veya preferred-install: dist yapılandırma ayarlarını kullanmaktan kaçının.

Sonuç

Composer, Packagist.org adresini tarayarak bu güvenlik açıklarının kötüye kullanıldığına dair bir belirti bulamamıştır. Ancak,  tüm Composer kurulumlarının hemen güncellenmesi gerektiği bildirilmektedir . Bunun yanı sıra,  Perforce kaynak verilerinin yayınlanması 10 Nisan 2026’dan itibaren Packagist.org üzerinde devre dışı bırakılmıştır . Güvenlik riski oluşturabilecek durumların önüne geçmek için bu adımlara özen gösterilmesi önem arz etmektedir.

KamAZ Vega, Robocop, KamAZ-6282 ONC ve tesisin diğer yeni ürünleri VEB.RF Başkanı Igor Shuvalov’a gösterildi
Sızıntıya göre Nvidia yeni, biraz daha yavaş bir RTX 4070 üzerinde çalışıyor
Oracle WebLogic’i Hedef Alan Cryptojacking Saldırılarında Yeni ScrubCrypt Crypter Kullanıldı
‘Batavia’ casus yazılım kampanyası, birçok Rus kuruluşunu hedef alıyor.
Discovery Ekibi Yeni Sezon 5 Fragmanındaki Son Dansına Hazırlanıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Max Hodak’ın Şirketi, İnsan Beynine İlk Sensörü Yerleştirmeye Hazırlanıyor
Sonraki Makale DJI’nin Yeni Osmo Pocket Kamerasında Çift Lensli Pro Versiyon Sızdı

Sanal Medya

Son Eklenenler

Grand Theft Auto VI Oyun Dünyasında Tarihleri Değiştiriyor
Liste
Microsoft’un Mojo’su Geri Mi Gidiyor? AI ve Yenilikler Ne Diyor?
Genel
Donanım Dünyası: Computex 2026, 4. Gün – B2B Değişimi ve Taipei’ye Veda
Donanım
Guild Wars 3 Geliyor, MMORPG Dünyasında Yenilikler Sunuyor
Oyun
N++ Ekibinin Geri Dönüşü: Çok Oyunculu Devam Oyunu Geliyor
Liste
Müzik Oyunları Dünyasında Fırtına Yaratacak Mr. Records
Oyun