Plateforme
php
Composant
composer/composer
Corrigé dans
2.3.1
1.0.1
2.9.6
La vulnérabilité CVE-2026-40176 est une injection de commandes affectant Composer, un gestionnaire de dépendances pour PHP. Elle permet à un attaquant d'exécuter des commandes arbitraires sur le système où Composer est exécuté, même si Perforce n'est pas installé. Les versions concernées sont 1.0.0–>= 2.3, < 2.9.6. Une mise à jour vers la version 2.9.6 corrige ce problème.
L'impact de cette vulnérabilité est significatif. Un attaquant capable de contrôler une configuration de dépôt dans un fichier composer.json malveillant peut injecter des commandes shell arbitraires via les paramètres de connexion Perforce (port, utilisateur, client) qui ne sont pas correctement échappés. Composer exécutera ces commandes injectées dans le contexte de l'utilisateur qui exécute Composer, ce qui peut permettre de compromettre le système. Le fait que Perforce n'ait pas besoin d'être installé rend l'exploitation plus simple et augmente la surface d'attaque. Cette vulnérabilité est particulièrement préoccupante car les fichiers composer.json sont souvent utilisés pour gérer les dépendances de projets PHP, ce qui augmente le risque d'introduction de code malveillant.
Cette vulnérabilité a été divulguée publiquement le 2026-04-15. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation potentielle et la large utilisation de Composer en font une cible potentielle. Il n'est pas listé sur le KEV à ce jour. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Composer vers la version 2.9.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de vérifier attentivement tous les fichiers composer.json pour détecter des configurations suspectes, en particulier celles qui définissent des dépôts Perforce. Il n'existe pas de contournement direct pour empêcher l'injection de commandes, mais une analyse rigoureuse des dépendances peut aider à identifier les fichiers malveillants. En attendant la mise à jour, il est conseillé de restreindre les accès aux fichiers composer.json et de surveiller les processus Composer pour détecter toute activité suspecte. Après la mise à jour, vérifiez que la version de Composer est bien 2.9.6 ou supérieure en exécutant composer --version.
Actualice Composer a la versión 2.2.27 o superior (2.2 LTS) o a la versión 2.9.6 (mainline) para mitigar la vulnerabilidad de inyección de comandos. Evite usar Composer en proyectos con archivos composer.json no confiables.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a Command Injection vulnerability in Composer, a PHP dependency manager, allowing attackers to execute arbitrary commands via malicious composer.json files.
You are affected if you are using Composer versions 1.0.0–>= 2.3, < 2.9.6. Check your Composer version and upgrade if necessary.
Upgrade Composer to version 2.9.6 or later. If immediate upgrade isn't possible, review composer.json files and consider WAF rules.
Currently, there are no known active campaigns exploiting this vulnerability, but the potential for exploitation is high.
Refer to the official Composer security advisory and the NVD entry for CVE-2026-40176 for detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.