Se han revelado dos vulnerabilidades de seguridad de incorporación pesadez en Composer, un administrador de paquetes para PHP, que, si se explotan con éxito, podrían resultar en la ejecución de comandos arbitrarios.
Las vulnerabilidades se han descrito como fallas de inyección de comandos que afectan al regulador Perforce VCS (software de control de versiones). Los detalles de los dos defectos se encuentran a continuación:
- CVE-2026-40176 (Puntuación CVSS: 7,8): una vulnerabilidad de subsistencia de entrada inadecuada que podría permitir a un atacante controlar una configuración de repositorio en un compositor.json sagaz que declara un repositorio Perforce VCS para inyectar comandos arbitrarios, lo que resulta en la ejecución de comandos en el contexto del becario que ejecuta Composer.
- CVE-2026-40261 (Puntuación CVSS: 8,8): una vulnerabilidad de subsistencia de entrada inadecuada derivada de un escape inadecuado que podría permitir a un atacante inyectar comandos arbitrarios a través de una narración fuente diseñada que contenga metacaracteres de shell.
En entreambos casos, Composer ejecutaría estos comandos inyectados incluso si Perforce VCS no está instalado, señalaron los mantenedores en un aviso.
Las vulnerabilidades afectan a las siguientes versiones:
Si el parche inmediato no es una opción, se recomienda inspeccionar los archivos compositor.json ayer de ejecutar Composer y demostrar que los campos relacionados con Perforce contengan títulos válidos. Igualmente se recomienda utilizar nada más repositorios confiables de Composer, ejecutar comandos de Composer en proyectos de fuentes confiables y evitar instalar dependencias usando la opción de configuración “–prefer-dist” o “preferred-install: dist”.
Composer dijo que escaneó Packagist.org y no encontró ninguna evidencia de que los actores de amenazas explotaran las vulnerabilidades ayer mencionadas mediante la publicación de paquetes con información maliciosa de Perforce. Se calma que se envíe una nueva traducción para los clientes de Private Packagist Self-Hosted.
“Como precaución, la publicación de los metadatos fuente de Perforce ha sido deshabilitada en Packagist.org desde el viernes 10 de abril de 2026”, decía. “Las instalaciones de Composer deben actualizarse inmediatamente de todos modos”.
