Duas vulnerabilidades de alta severidade foram divulgadas no Composer, o gerenciador de pacotes do PHP, e podem permitir a execução arbitrária de comandos caso sejam exploradas com sucesso.
As falhas foram descritas como problemas de command injection que afetam o driver de Perforce VCS, software de controle de versão.
Os detalhes são os seguintes:
CVE-2026-40176, com pontuação CVSS 7,8, é uma vulnerabilidade de validação inadequada de entrada que pode permitir que um atacante, ao controlar a configuração de um repositório em um arquivo composer.json malicioso que declare um repositório Perforce VCS, injete comandos arbitrários.
O resultado seria a execução de comandos no contexto do usuário que está executando o Composer.
CVE-2026-40261, com pontuação CVSS 8,8, também envolve validação inadequada de entrada, desta vez causada por escaping insuficiente.
Nesse caso, um atacante poderia injetar comandos arbitrários por meio de uma source reference cuidadosamente criada e contendo shell metacharacters.
Em ambos os cenários, o Composer executaria os comandos injetados mesmo que o Perforce VCS não estivesse instalado, informou a equipe mantenedora em comunicado.
As vulnerabilidades afetam as seguintes versões:
>= 2.3, < 2.9.6, corrigida na versão 2.9.6
>= 2.0, < 2.2.27, corrigida na versão 2.2.27
Caso a aplicação imediata de patch não seja possível, a recomendação é inspecionar os arquivos composer.json antes de executar o Composer e verificar se os campos relacionados ao Perforce contêm valores válidos.
Também é aconselhável usar apenas repositórios confiáveis, executar comandos do Composer em projetos de origem confiável e evitar a instalação de dependências com a opção --prefer-dist ou com a configuração preferred-install: dist.
O Composer informou ter analisado o Packagist.org e não encontrado evidências de que essas falhas tenham sido exploradas por atores maliciosos por meio da publicação de pacotes com informações maliciosas de Perforce.
Uma nova release também deve ser disponibilizada para clientes do Private Packagist Self-Hosted.
Como medida de precaução, a publicação de metadados de origem do Perforce foi desativada no Packagist.org desde sexta-feira, 10 de abril de 2026, informou a empresa.
“As instalações do Composer devem ser atualizadas imediatamente, independentemente disso.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...