พบช่องโหว่บน PHP Composer
พบช่องโหว่บน PHP Composer ที่ช่วยให้แฮกเกอร์สามารถยิงโคดใส่ระบบโดยไม่ได้รับอนุญาตได้
ภาษา PHP อาจเป็นภาษาที่คุ้นเคยกันดีในกลุ่มผู้สร้าง และพัฒนาเว็บไซต์ และเนื่องด้วยตัวภาษานั้นมีความเกี่ยวข้องกับเว็บไซต์และระบบเครือข่าย (Network) อย่างยิ่งยวดนั้น ทำให้เมื่อมีการตรวจพบช่องโหว่ความปลอดภัยอยู่ภายในส่วนหนึ่งส่วนใดที่เกี่ยวข้อง ย่อมกลายเป็นเรื่องใหญ่ไปด้วย
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยภายใน PHP Composer ซึ่งเป็นเครื่องมือจัดการแพ็คเกจ (Package Manager) ซึ่งช่องโหว่ดังกล่าวนั้นจะส่งผลให้แฮกเกอร์สามารถทำการรันโค้ดโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) ได้ โดยช่องโหว่ความปลอดภัยนั้นจะมีอยู่ 2 ตัว ดังนี้
CVE-2026-40176 (ได้รับคะแนน CVSS Score: 7.8) เป็นช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) ทำให้แฮกเกอร์สามารถเข้าควบคุมการตั้งค่าของคลังข้อมูล (Repository Configuration) ในไฟล์ .json สำหรับใช้งานกับ Composer ที่แฮกเกอร์สร้างมาเพื่อการนี้โดยเฉพาะได้ ซึ่งจะนำไปสู่การใช้งาน Perforce VCS Repository ในการยิงคำสั่ง (Command Injection) ตามใจชอบได้
CVE-2026-40261 (ได้รับคะแนน CVSS score: 8.8) เป็นอีกหนึ่งช่องโหว่ที่เกิดจากความไม่เรียบร้อยในส่วนของการยืนยันความถูกต้องของการป้อนค่า (Improper Input Validation) โดยสำหรับช่องโหว่นี้จะเป็นปัญหาที่เกิดจาก “Inadequate Escaping” ที่ช่วยให้แฮกเกอร์สามารถทำการยิงคำสั่งผ่านทางแหล่งข้อมูล (Source) ที่มี Shell Metacharacters บรรจุอยู่ ซึ่งถูกสร้างขึ้นมาเพื่อการนี้โดยเฉพาะได้
ซึ่งช่องโหว่ทั้ง 2 นั้นจะช่วยให้แฮกเกอร์สามารถยิงคำสั่งใส่เหยื่อได้ ถึงแม้จะไม่มีการติดตั้ง Perforce VCS ไว้ก็ตาม โดยช่องโหว่ทั้ง 2 นั้นจะอยู่บน PHP Composer รุ่นต่อไปนี้
รุ่น 2.3 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.9.6 (ถูกแก้ไขในรุ่น 2.9.6 เป็นที่เรียบร้อยแล้ว)
รุ่น 2.0 หรือต่ำกว่า, รุ่นที่ต่ำกว่า 2.2.27 (ถูกแก้ไขในรุ่น 2.2.27 เป็นที่เรียบร้อยแล้ว)
โดยทางแหล่งข่าวได้แนะนำให้ผู้ที่ใช้งาน PHP Composer ทำการอัปเกรดเป็นรุ่นที่ถูกอุดช่องโหว่เป็นที่เรียบร้อยแล้วทันที ซึ่งทางแหล่งข่าวได้ทำการตรวจสอบแล้ว พบว่าช่องโหว่ดังกล่าวยังไม่มีการถู�กใช้งาน (Exploited) โดยกลุ่มแฮกเกอร์กลุ่มใด ๆ ในขณะนี้ ดังนั้นจึงขอให้ผู้ใช้งานทำการเร่งอัปเดตโดยด่วน แต่ถ้ายังไม่สามารถอัปเกรดได้ด้วยประการใด ๆ ทางแหล่งข่าวได้แนะนำให้ปฏิบัติตามข้อแนะนำดังต่อไปนี้ เพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น
ตรวจสอบไฟล์ .json และตรวจสอบค่าที่เกี่ยวข้องกับ Perforce ทุกครั้งก่อนรันไฟล์ดังกล่าว
ดาวน์โหลดและใช้งาน Repository ของ PHP Composer จากแหล่งที่น่าเชื่อถือทุกครั้ง
หลีกเลี่ยงการใช้งานการตั้งค่า (Configuration Settings) "--prefer-dist" หรือ "preferred-install: dist" ในการติดตั้งส่วนเสริม (Dependency) ของตัว PHP Composer
จากประสบการณ์ตรงในการพัฒนาเว็บด้วย PHP Composer ผมพบว่าการอัปเดตเวอร์ชันอย่างสม่ำเสมอเป็นสิ่งที่สำคัญมาก โดยเฉพาะเมื่อมีการแจ้งช่องโหว่ด้านความปลอดภัยที่รุนแรงแบบนี้ ความไม่รัดกุมในการตรวจสอบข้อมูลเข้าของ PHP Composer ทำให้แฮกเกอร์สามารถฝังคำสั่งอันตรายเข้าไปในระบบได้ ซึ่งส่งผลกระทบต่อทั้งความมั่นคงและความปลอดภัยของเว็บไซต์อย่างรุนแรง ช่องโหว่ CVE-2026-40176 และ CVE-2026-40261 ที่ถูกพบใน PHP Composer เวอร์ชันเก่าทำให้เกิดการโจมตีแบบ Arbitrary Code Execution ซึ่งเป็นภัยคุกคามใหญ่ที่ไม่สามารถมองข้ามได้ โดยเฉพาะเมื่อ Composer ถูกใช้แพร่หลายในการจัดการแพ็คเกจและดีเพ็นเดนซีของ PHP การป้องกันเบื้องต้นที่ผมแนะนำให้ทำคือ 1. ตรวจสอบไฟล์ .json ของ Repository ทุกครั้งก่อนการรัน เพื่อให้แน่ใจว่าไม่มีโค้ดหรือคอนฟิกผิดปกติที่อาจถูกฝังอันตราย 2. ดาวน์โหลด PHP Composer และส่วนเสริมจากแหล่งที่เชื่อถือได้ เพื่อหลีกเลี่ยงซอฟต์แวร์ที่ถูกดัดแปลง 3. หลีกเลี่ยงการใช้การตั้งค่า "--prefer-dist" หรือ "preferred-install: dist" ในการติดตั้ง dependencies เพราะอาจเสี่ยงต่อการโจมตี นอกจากนี้ ผมเองเคยพบว่าการตั้งค่าความปลอดภัยในระบบเครือข่ายและเซิร์ฟเวอร์ก็ช่วยลดความเสี่ยงได้มาก เช่น การจำกัดสิทธิ์ของผู้ใช้และการตั้งไฟร์วอลล์ให้เข้มงวดขึ้น เพื่อป้องกันช่องทางการโจมตี สุดท้ายนี้ การอัปเดต PHP Composer เป็นเวอร์ชันล่าสุดที่ถูกแก้ไขช่องโหว่แล้ว คือวิธีที่ดีที่สุดในการรักษาความปลอดภัยโดยตรง ไม่ควรรอช้าแม้ช่องโหว่จะยังไม่มีรายงานการถูกโจมตีจริง เพราะการเตรียมรับมือก่อนล่วงหน้าจะช่วยปกป้องข้อมูลและระบบของเราอย่างเต็มที่
