Composerの脆弱性は注意が必要ですか？

A. 更新対象として見ておきたい内容です。

Composerで、任意のコマンドを差し込まれる可能性がある脆弱性が確認されています。確認されているのは、Perforce VCSドライバにある2件の脆弱性です。いずれも、シェルコマンドを組み立てる際の文字列処理が十分でないことが原因です。

そのため、細工された設定や参照を通じて、Composerを実行したユーザ権限でコマンドが動く可能性があります。

この問題は、対象の環境にPerforceが入っていなくても表面化しうるとされています。

2026年4月14日時点では、実際の悪用例は確認されていません。

対策は、最新版では2.9.6、安定版では2.2.27で実施されています。更新版を入手する際は、入手先が本家かどうかも確認しておきたいところです。

👉 詳細のブログはこちら