Plataforma
php
Componente
composer/composer
Corrigido em
2.3.1
1.0.1
2.9.6
Uma vulnerabilidade de Command Injection foi descoberta no Composer, um gerenciador de dependências para PHP. A falha reside na forma como o método Perforce::generateP4Command() constrói comandos do shell, interpolando parâmetros de conexão do Perforce (porta, usuário, cliente) sem o devido escape. Isso permite que um atacante, controlando um arquivo composer.json malicioso, execute comandos arbitrários no sistema que executa o Composer, mesmo que o Perforce não esteja instalado. As versões afetadas são 1.0.0–>= 2.3, < 2.9.6.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar comandos arbitrários no sistema onde o Composer está sendo executado. O vetor de ataque envolve a criação de um arquivo composer.json malicioso que declara um repositório VCS Perforce com parâmetros de conexão manipulados. Esses parâmetros, quando usados para gerar o comando do shell, permitem a injeção de comandos arbitrários. O impacto é significativo, pois o atacante pode obter controle sobre o sistema, acessar dados sensíveis, instalar malware ou realizar outras ações maliciosas. A execução ocorre no contexto do usuário que executa o Composer, o que pode elevar os privilégios se esse usuário tiver permissões elevadas. A localização do arquivo composer.json no diretório raiz limita o escopo, mas ainda representa um risco considerável, especialmente em ambientes de desenvolvimento ou implantações automatizadas.
A vulnerabilidade foi publicada em 2026-04-15. A probabilidade de exploração é considerada média (EPSS score pendente), dada a complexidade do ataque e a necessidade de manipular um arquivo composer.json. Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade (Command Injection) a torna um alvo potencial para exploração futura. É recomendável monitorar as fontes de inteligência de ameaças e os boletins de segurança para obter atualizações sobre possíveis campanhas de exploração.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Composer para a versão 2.9.6 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere as seguintes medidas de mitigação: Primeiro, revise e valide todos os arquivos composer.json em busca de conteúdo suspeito ou não autorizado. Segundo, implemente controles de acesso rigorosos para restringir o acesso de escrita aos diretórios que contêm arquivos composer.json. Terceiro, se possível, desative a funcionalidade Perforce no Composer, especialmente em ambientes onde não é necessário. Quarto, utilize um Web Application Firewall (WAF) ou proxy reverso para inspecionar e bloquear solicitações que contenham comandos potencialmente maliciosos. Após a atualização, confirme a correção executando o Composer em um ambiente de teste e verificando se os comandos do shell são gerados corretamente, sem a possibilidade de injeção de comandos.
Actualice Composer a la versión 2.2.27 o superior (2.2 LTS) o a la versión 2.9.6 (mainline) para mitigar la vulnerabilidad de inyección de comandos. Evite usar Composer en proyectos con archivos composer.json no confiables.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a Command Injection vulnerability in Composer, a PHP dependency manager, allowing attackers to execute arbitrary commands via malicious composer.json files.
You are affected if you are using Composer versions 1.0.0–>= 2.3, < 2.9.6. Check your Composer version and upgrade if necessary.
Upgrade Composer to version 2.9.6 or later. If immediate upgrade isn't possible, review composer.json files and consider WAF rules.
Currently, there are no known active campaigns exploiting this vulnerability, but the potential for exploitation is high.
Refer to the official Composer security advisory and the NVD entry for CVE-2026-40176 for detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.