Composer Güvenlik Açıkları Hakkında Önemli Bilgilendirme
PHP paket yöneticisi Composer’da, kötüye kullanıldığında rastgele komut çalıştırmaya neden olabilecek iki yüksek öncelikli güvenlik açığı ortaya çıkmıştır. Bu açıklar, özellikle Perforce Versiyon Kontrol Sistemi (VCS) sürücüsünü etkileyerek kritik bir güvenlik riski oluşturuyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açıkları, Perforce VCS sürücüsü için tasarlanmış komut enjeksiyonu hatalarından kaynaklanmaktadır. Detaylar aşağıdaki gibi tanımlanmıştır:
- CVE-2026-40176 (CVSS puanı: 7.8) – Kötü girdi doğrulaması nedeniyle, bir saldırgan kötü niyetli bir
composer.jsondosyasıyla depolama yapılandırmasını kontrol ediyorsa rasgele komutlar enjekte edebilir. Bu durum, Composer’ı çalıştıran kullanıcının bağlamında komutların yürütülmesine neden olabilir. - CVE-2026-40261 (CVSS puanı: 8.8) – Yetersiz kaçış işlemleri sonucunda, bir saldırganın kabuk metakarakterleri içeren özel bir kaynak referansı aracılığıyla rasgele komutlar enjekte etmesine imkân tanıyan bir güvenlik açığıdır.
Her iki durumda da, Composer bu enjekte edilmiş komutları, Perforce VCS kurulu olmasa dahi çalıştırmaktadır.
Etkilenen Sistemler
Aşağıdaki Composer sürümleri etkilenmektedir:
– Kullanıcıların bir an önce güncellemelerini sağlamaları önemlidir.
Çözüm ve Korunma
Eğer hemen bir yamanın uygulanması mümkün değilse, önerilen bazı önlemler şunlardır:
- Composer çalıştırmadan önce
composer.jsondosyalarını dikkatlice inceleyin. - Perforce ile ilgili alanların geçerli değerler içerdiğinden emin olun.
- Sadece güvenilir Composer havuzlarını kullanın.
- Güvenilir kaynaklardan gelen projeler üzerinde Composer komutları çalıştırın.
- Bağımlılıkları yüklerken
--prefer-distveyapreferred-install: distyapılandırma ayarlarını kullanmaktan kaçının.
Sonuç
Composer, Packagist.org adresini tarayarak bu güvenlik açıklarının kötüye kullanıldığına dair bir belirti bulamamıştır. Ancak, tüm Composer kurulumlarının hemen güncellenmesi gerektiği bildirilmektedir . Bunun yanı sıra, Perforce kaynak verilerinin yayınlanması 10 Nisan 2026’dan itibaren Packagist.org üzerinde devre dışı bırakılmıştır . Güvenlik riski oluşturabilecek durumların önüne geçmek için bu adımlara özen gösterilmesi önem arz etmektedir.
