Se han divulgado dos vulnerabilidades de seguridad de alta gravedad en **Composer**, un gestor de paquetes para PHP. Si se explotan con éxito, estas podrían conducir a la ejecución de comandos arbitrarios.  ### Detalles de la Vulnerabilidad Las vulnerabilidades son fallas de inyección de comandos que afectan al controlador Perforce VCS (software de control de versiones). Aquí un desglose: * **CVE-2026-40176** (puntuación CVSS: 7.8): Esta vulnerabilidad de validación de entrada inadecuada permite a un atacante que controla la configuración de un repositorio en un archivo `composer.json` malicioso que declara un repositorio Perforce VCS inyectar comandos arbitrarios. Esto resulta en la ejecución de comandos dentro del contexto del usuario que ejecuta Composer. * **CVE-2026-40261** (puntuación CVSS: 8.8): Esta vulnerabilidad de validación de entrada inadecuada se deriva de un escape insuficiente. Permite a un atacante inyectar comandos arbitrarios a través de una referencia de origen manipulada que contiene metacaracteres de shell. Notablemente, los mantenedores de **Composer** declararon que los comandos inyectados se ejecutarían incluso si Perforce VCS no está instalado. ### Versiones Afectadas Las siguientes versiones se ven afectadas: * `>= 2.3, < 2.9.6` (Corregido en la versión 2.9.6) * `>= 2.0, < 2.2.27` (Corregido en la versión 2.2.27) ### Estrategias de Mitigación Si el parcheo inmediato no es factible, se aconsejan los siguientes pasos: * Inspeccionar los archivos `composer.json` antes de ejecutar Composer. * Verificar que los campos relacionados con Perforce contengan valores válidos. * Utilizar únicamente repositorios de Composer confiables. * Ejecutar comandos de Composer en proyectos de fuentes confiables. * Evitar instalar dependencias utilizando la opción `--prefer-dist` o la configuración `preferred-install: dist`. ### Sin Explotación Detectada (Hasta Ahora) **Composer** informó haber escaneado Packagist.org y no encontró evidencia de explotación activa por parte de actores de amenazas que publicaran paquetes con información maliciosa de Perforce. Se espera un nuevo lanzamiento para los clientes de Private Packagist Self-Hosted. "Como precaución, la publicación de metadatos de origen de Perforce se ha deshabilitado en Packagist.org desde el viernes 10 de abril de 2026", dijo. "Las instalaciones de Composer deben actualizarse de inmediato sin importar."