Kerentanan Baru Composer PHP Sebabkan Eksekusi Perintah Arbitrer, Segera Update!

Dua kerentanan keamanan serius baru-baru ini ditemukan pada Composer, pengelola paket untuk bahasa pemrograman PHP, yang dapat memungkinkan penyerang menjalankan perintah arbitrer pada sistem korban. Kerentanan ini berhubungan dengan driver Perforce VCS (software pengontrol versi).

Detail Kerentanan Composer PHP

Kerentanan tersebut diberi kode CVE-2026-40176 dan CVE-2026-40261, dengan skor CVSS masing-masing 7.8 dan 8.8, yang menunjukkan tingkat risiko tinggi. Berikut penjelasannya:

• CVE-2026-40176: Terjadi karena validasi input yang tidak tepat pada konfigurasi composer.json yang mengandung repositori Perforce VCS. Penyerang yang mengontrol konfigurasi ini dapat menyisipkan perintah berbahaya yang akan dieksekusi dalam konteks pengguna yang menjalankan Composer.
• CVE-2026-40261: Disebabkan oleh escaping yang tidak memadai pada referensi sumber yang mengandung karakter shell, yang memungkinkan injeksi perintah arbitrer melalui referensi sumber yang dimanipulasi.

Yang mengkhawatirkan, Composer akan menjalankan perintah berbahaya tersebut meskipun Perforce VCS tidak terpasang di sistem target, menurut pengumuman resmi pengelola Composer.

Versi Composer yang Terpengaruh dan Solusi

Kerentanan ini mempengaruhi versi Composer sebagai berikut:

• Versi ≥ 2.3 dan < 2.9.6 (solusi ada di versi 2.9.6)
• Versi ≥ 2.0 dan < 2.2.27 (solusi ada di versi 2.2.27)

Pengguna sangat dianjurkan untuk segera melakukan pembaruan Composer ke versi terbaru untuk menghindari potensi eksploitasi. Jika pembaruan segera tidak memungkinkan, ada beberapa langkah mitigasi yang disarankan:

1. Periksa dengan teliti file composer.json sebelum menjalankan Composer, terutama bagian yang berhubungan dengan Perforce, untuk memastikan nilai-nilai valid dan terpercaya.
2. Gunakan hanya repositori Composer yang terpercaya.
3. Jalankan perintah Composer hanya pada proyek dari sumber yang dapat dipercaya.
4. Hindari penggunaan opsi instalasi --prefer-dist atau konfigurasi preferred-install: dist yang dapat meningkatkan risiko keamanan.

Tindakan Pengelola Composer dan Implikasi Keamanan

Menurut pengumuman resmi di thehackernews.com, tim Composer sudah melakukan pemindaian di Packagist.org dan belum menemukan bukti eksploitasi aktif dari kerentanan ini melalui paket-paket yang mengandung metadata Perforce berbahaya. Namun sebagai langkah pencegahan, publikasi metadata sumber Perforce telah dinonaktifkan sejak 10 April 2026.

Selain itu, pengelola Composer berencana merilis pembaruan khusus untuk pelanggan Private Packagist Self-Hosted agar mengatasi isu ini secara menyeluruh.

"Sebagai tindakan pencegahan, publikasi metadata sumber Perforce telah dinonaktifkan di Packagist.org sejak Jumat, 10 April 2026," ujar tim Composer. "Pengguna Composer harus segera memperbarui instalasi mereka."

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ini menyoroti tantangan serius dalam keamanan software supply chain, terutama pada ekosistem open source seperti PHP Composer yang sangat bergantung pada paket dan repositori luar. Eksekusi perintah arbitrer melalui konfigurasi repositori bisa membuka jalan bagi serangan yang lebih luas, mulai dari pencurian data hingga pengambilalihan sistem.

Fakta bahwa Composer menjalankan perintah walaupun Perforce VCS tidak terpasang mengindikasikan kurangnya mekanisme pengamanan internal yang memadai sebelum menjalankan input konfigurasi dari sumber luar. Ini menjadi peringatan bagi pengembang dan organisasi agar selalu menerapkan prinsip keamanan berlapis, termasuk validasi input ketat dan penggunaan paket hanya dari sumber terpercaya.

Ke depan, pembaruan keamanan ini harus menjadi momentum bagi komunitas PHP untuk lebih mengedepankan standar keamanan, serta bagi para pengguna Composer untuk memperketat proses audit dan kontrol paket. Kami juga menyarankan agar pengelola proyek dan tim DevSecOps terus memantau pembaruan resmi dan segera merespon potensi risiko keamanan serupa.

Untuk informasi lebih lanjut dan update terkini, ikuti terus berita keamanan siber dari sumber terpercaya dan pastikan sistem pengelolaan paket Anda selalu dalam kondisi terlindungi.