PHP依存管理ツールComposerの任意コマンド実行脆弱性

概要

PHPプロジェクトの依存ライブラリを管理するツール「Composer」のPerforce VCSドライバー（バージョン管理システム連携機能）に複数の任意コマンド実行脆弱性が発見されました。この脆弱性により、攻撃者がComposerを使用する開発環境でサーバー上の任意のコマンドを実行できる危険性があります。影響範囲はComposerを利用するPHP開発環境全般に及びます。対策として、Composerを最新の修正済みバージョンへ速やかにアップデートする必要があります。本脆弱性は開発環境経由でシステムが侵害される重大なリスクを持つため、早急な対応が求められます。

元記事（JPCERT/CC）