Plataforma
php
Componente
composer/composer
Corrigido em
2.3.1
1.0.1
2.9.6
A vulnerabilidade CVE-2026-40261 é uma falha de injeção de comandos no Composer, um gerenciador de dependências para PHP. Essa falha permite que um atacante execute comandos shell arbitrários no sistema, potencialmente comprometendo a integridade e a confidencialidade dos dados. Versões afetadas incluem 1.0.0–>= 2.3.0 e menores que 2.9.6. A correção está disponível na versão 2.9.6.
Um atacante pode explorar essa vulnerabilidade fornecendo uma referência de origem maliciosa que contenha metacaracteres do shell. O método Perforce::syncCodeBase() do Composer, ao construir comandos shell, não escapa adequadamente esses metacaracteres, permitindo a injeção de comandos arbitrários. A execução desses comandos ocorre mesmo que o Perforce não esteja instalado, ampliando o potencial de dano. A falha se assemelha a CVE-2026-40176, onde parâmetros de conexão do Perforce também eram vulneráveis à injeção. O impacto pode variar desde a execução de comandos simples até a obtenção de acesso irrestrito ao sistema, dependendo das permissões do usuário sob o qual o Composer está sendo executado.
A vulnerabilidade foi publicada em 2026-04-15. A avaliação de probabilidade de exploração (EPSS) ainda está pendente. Não há evidências públicas de que essa vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a natureza da injeção de comandos a torna um alvo atraente para atacantes. É recomendável monitorar fontes de inteligência de ameaças para detectar possíveis explorações.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Composer para a versão 2.9.6 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação, como restringir o acesso à funcionalidade Perforce::syncCodeBase() e validar rigorosamente as referências de origem fornecidas. Implementar regras em um Web Application Firewall (WAF) para bloquear solicitações com metacaracteres suspeitos também pode ajudar. Monitore os logs do sistema em busca de atividades incomuns relacionadas à execução de comandos shell.
Actualice Composer a la versión 2.2.27 o superior (2.2 LTS) o a la versión 2.9.6 (mainline). Como alternativa, evite instalar dependencias desde el código fuente utilizando la opción --prefer-dist o la configuración preferred-install: dist, y solo utilice repositorios de Composer de confianza.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40261 is a Command Injection vulnerability in Composer allowing attackers to execute arbitrary commands due to improper escaping of user input.
You are affected if you are using Composer versions between 1.0.0–>= 2.3.0 and < 2.9.6. Check your Composer version and upgrade if necessary.
Upgrade Composer to version 2.9.6 or later to resolve the vulnerability. Implement input validation as a temporary workaround if upgrading is not possible.
While no active campaigns are confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted. Monitor your systems for suspicious activity.
Refer to the official CVE entry on the NVD website (https://nvd.nist.gov/vuln/detail/CVE-2026-40261) and the Composer security advisory for detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.