Duas vulnerabilidades de segurança de alta gravidade foram divulgadas no **Composer**, um gerenciador de pacotes para PHP. Se exploradas com sucesso, elas poderiam levar à execução de comandos arbitrários.  ### Detalhes da Vulnerabilidade As vulnerabilidades são falhas de injeção de comando que afetam o driver Perforce VCS (software de controle de versão). Aqui está um resumo: * **CVE-2026-40176** (pontuação CVSS: 7.8): Esta vulnerabilidade de validação inadequada de entrada permite que um atacante que controla uma configuração de repositório em um arquivo `composer.json` malicioso declarando um repositório Perforce VCS injete comandos arbitrários. Isso resulta na execução de comandos no contexto do usuário que executa o Composer. * **CVE-2026-40261** (pontuação CVSS: 8.8): Esta vulnerabilidade de validação inadequada de entrada decorre de um escape inadequado. Ela permite que um atacante injete comandos arbitrários por meio de uma referência de origem elaborada contendo metacaracteres de shell. Notavelmente, os mantenedores do **Composer** afirmaram que os comandos injetados seriam executados mesmo que o Perforce VCS não estivesse instalado. ### Versões Afetadas As seguintes versões são afetadas: * `>= 2.3, < 2.9.6` (Corrigido na versão 2.9.6) * `>= 2.0, < 2.2.27` (Corrigido na versão 2.2.27) ### Estratégias de Mitigação Se o patching imediato não for viável, as seguintes etapas são recomendadas: * Inspecione os arquivos `composer.json` antes de executar o Composer. * Verifique se os campos relacionados ao Perforce contêm valores válidos. * Use apenas repositórios Composer confiáveis. * Execute comandos Composer em projetos de fontes confiáveis. * Evite instalar dependências usando `--prefer-dist` ou a configuração `preferred-install: dist`. ### Nenhuma Exploração Detectada (Ainda) O **Composer** relatou ter escaneado o Packagist.org e não encontrou evidências de exploração ativa por atores de ameaça publicando pacotes com informações maliciosas do Perforce. Uma nova versão é esperada para clientes Private Packagist Self-Hosted. "Como precaução, a publicação de metadados de origem do Perforce foi desativada no Packagist.org desde sexta-feira, 10 de abril de 2026", disse. "As instalações do Composer devem ser atualizadas imediatamente, independentemente."