Deux vulnérabilités de sécurité de haute gravité ont été divulguées dans **Composer**, un gestionnaire de paquets pour PHP. Si elles sont exploitées avec succès, elles pourraient entraîner l'exécution de commandes arbitraires.  ### Détails des vulnérabilités Les vulnérabilités sont des failles d'injection de commande affectant le pilote Perforce VCS (logiciel de contrôle de version). Voici une ventilation : * **CVE-2026-40176** (score CVSS : 7.8) : Cette vulnérabilité de validation incorrecte des entrées permet à un attaquant contrôlant une configuration de dépôt dans un fichier `composer.json` malveillant déclarant un dépôt Perforce VCS d'injecter des commandes arbitraires. Cela entraîne l'exécution de commandes dans le contexte de l'utilisateur exécutant Composer. * **CVE-2026-40261** (score CVSS : 8.8) : Cette vulnérabilité de validation incorrecte des entrées découle d'un échappement inadéquat. Elle permet à un attaquant d'injecter des commandes arbitraires via une référence source spécialement conçue contenant des métacaractères shell. Notamment, les mainteneurs de **Composer** ont déclaré que les commandes injectées s'exécuteraient même si Perforce VCS n'est pas installé. ### Versions affectées Les versions suivantes sont affectées : * `>= 2.3, < 2.9.6` (Corrigé dans la version 2.9.6) * `>= 2.0, < 2.2.27` (Corrigé dans la version 2.2.27) ### Stratégies d'atténuation Si une correction immédiate n'est pas réalisable, les étapes suivantes sont recommandées : * Inspectez les fichiers `composer.json` avant d'exécuter Composer. * Vérifiez que les champs liés à Perforce contiennent des valeurs valides. * Utilisez uniquement des dépôts Composer de confiance. * Exécutez les commandes Composer sur des projets provenant de sources fiables. * Évitez d'installer des dépendances en utilisant l'option `--prefer-dist` ou le paramètre de configuration `preferred-install: dist`. ### Aucune exploitation détectée (pour l'instant) **Composer** a signalé avoir scanné Packagist.org et n'a trouvé aucune preuve d'exploitation active par des acteurs malveillants publiant des paquets avec des informations Perforce malveillantes. Une nouvelle version est attendue pour les clients Private Packagist auto-hébergés. « Par mesure de précaution, la publication des métadonnées sources Perforce a été désactivée sur Packagist.org depuis vendredi 10 avril 2026 », a-t-il indiqué. « Les installations de Composer doivent être mises à jour immédiatement, quoi qu'il en soit. »