Se han revelado dos vulnerabilidades de seguridad de alta gravedad en Composer, un administrador de paquetes para PHP, que, si se explotan con éxito, podrían resultar en la ejecución de comandos arbitrarios.
Las vulnerabilidades se han descrito como fallas de inyección de comandos que afectan al controlador Perforce VCS (software de control de versiones). Los detalles de los dos defectos se encuentran a continuación:
- CVE-2026-40176 (Puntuación CVSS: 7,8): una vulnerabilidad de validación de entrada inadecuada que podría permitir a un atacante controlar una configuración de repositorio en un compositor.json malicioso que declara un repositorio Perforce VCS para inyectar comandos arbitrarios, lo que resulta en la ejecución de comandos en el contexto del usuario que ejecuta Composer.
- CVE-2026-40261 (Puntuación CVSS: 8,8): una vulnerabilidad de validación de entrada inadecuada derivada de un escape inadecuado que podría permitir a un atacante inyectar comandos arbitrarios a través de una referencia fuente diseñada que contenga metacaracteres de shell.
En ambos casos, Composer ejecutaría estos comandos inyectados incluso si Perforce VCS no está instalado, señalaron los mantenedores en un aviso.
Las vulnerabilidades afectan a las siguientes versiones:
Si el parche inmediato no es una opción, se recomienda inspeccionar los archivos compositor.json antes de ejecutar Composer y verificar que los campos relacionados con Perforce contengan valores válidos. También se recomienda utilizar únicamente repositorios confiables de Composer, ejecutar comandos de Composer en proyectos de fuentes confiables y evitar instalar dependencias usando la opción de configuración «–prefer-dist» o «preferred-install: dist».
Composer dijo que escaneó Packagist.org y no encontró ninguna evidencia de que los actores de amenazas explotaran las vulnerabilidades antes mencionadas mediante la publicación de paquetes con información maliciosa de Perforce. Se espera que se envíe una nueva versión para los clientes de Private Packagist Self-Hosted.
«Como precaución, la publicación de los metadatos fuente de Perforce ha sido deshabilitada en Packagist.org desde el viernes 10 de abril de 2026», decía. «Las instalaciones de Composer deben actualizarse inmediatamente de todos modos».