SchwachstellenCyberkriminalitätMalware

Kritische Sicherheitslücken in PHP Composer ermöglichen Befehlsausführung

Kritische Sicherheitslücken in PHP Composer ermöglichen Befehlsausführung
Zusammenfassung

Zwei kritische Sicherheitslücken in Composer, dem weit verbreiteten Paketmanager für PHP, ermöglichen es Angreifern, beliebige Befehle auf betroffenen Systemen auszuführen. Die Schwachstellen befinden sich im Perforce-Versionskontroll-Treiber und ermöglichen Command-Injection-Attacken, die sogar dann funktionieren, wenn Perforce gar nicht installiert ist. Dies stellt eine erhebliche Bedrohung dar, da Composer in unzähligen PHP-Projekten weltweit eingesetzt wird – sowohl von kleinen Entwicklern als auch von großen Unternehmen. Für deutsche Softwareunternehmen, Web-Agenturen und IT-Behörden, die PHP-basierte Anwendungen entwickeln oder betreiben, bedeutet dies ein unmittelbares Sicherheitsrisiko. Ein erfolgreicher Angriff könnte zu vollständiger Systemkompromittierung, Datendiebstahl oder Malware-Installation führen. Zwar gibt es bislang keine Hinweise auf aktive Ausnutzung in der Packagist.org-Repository, doch die Patches sollten sofort eingespielt werden. Entwickler und Sicherheitsverantwortliche müssen ihre Composer-Installationen dringend aktualisieren und ihre composer.json-Dateien überprüfen, um potenzielle Manipulationen durch Perforce-Felder auszuschließen.

Die Sicherheitsforscher haben zwei High-Severity-Schwachstellen in Composer identifiziert, die unter dem Begriff Command-Injection klassifizieren werden. Diese Lücken ermöglichen es Angreifern, über manipulierte Perforce-Konfigurationen in der composer.json-Datei arbitrary Code auszuführen. Das Besondere und Gefährliche an dieser Konstellation: Composer führt die injizierten Befehle auch dann aus, wenn der Perforce Version Control System gar nicht auf dem betroffenen System installiert ist.

Das macht die Angriffsfläche erheblich größer, da Entwickler möglicherweise nicht einmal bewusst sind, dass ihre Konfiguration für Perforce anfällig ist. Der Angriffsvektor funktioniert über manipulierte Dependencies oder Repositories, die mit speziell präparierten Perforce-Informationen in der composer.json versehen sind.

Composer-Maintainer empfehlen mehrere Abwehrmaßnahmen für Nutzer, die nicht sofort patchen können: Zunächst sollten alle composer.json-Dateien vor dem Ausführen von Composer-Kommandos inspiziert werden. Dabei ist besonders auf Perforce-bezogene Felder zu achten, die nur valide Werte enthalten dürfen. Zusätzlich wird dringend empfohlen, Composer nur mit vertrauenswürdigen Repositories zu nutzen und Abhängigkeiten ausschließlich aus bekannten, sicheren Quellen zu installieren. Die Verwendung der “–prefer-dist” oder “preferred-install: dist” Optionen sollte vermieden werden.

Positiv zu vermerken ist, dass das Sicherheitsteam Packagist.org — das größte PHP-Repository — bereits gescannt hat und keine Anzeichen einer aktiven Ausnutzung durch Cyberkriminelle gefunden hat. Als Vorsichtsmaßnahme wurde die Publikation von Perforce-Quelldaten auf Packagist.org seit dem 10. April 2026 deaktiviert.

Trotzdem bleibt die Lage ernst: PHP ist in Deutschland wie weltweit die dominierende Sprache für Web-Entwicklung, und Composer ist der De-facto-Standard für Dependency Management. Ein Update sollte für alle betroffenen Versionen höchste Priorität haben. Private-Packagist-Self-Hosted-Kunden erhalten ebenfalls ein Update. Die Entwickler mahnen zur sofortigen Aktualisierung — unabhängig davon, ob aktuell Exploits im Umlauf sind oder nicht.

Ähnliche Artikel