Composer, la herramienta de gestión de paquetes más usada en el ecosistema PHP, ha publicado correcciones para dos fallos de seguridad graves que, explotados con éxito, permitirían la ejecución de comandos arbitrarios en la máquina donde se ejecute Composer. Estos problemas están relacionados con el controlador de Perforce como sistema de control de versiones y afectan a varias ramas de Composer 2.x.
Las dos vulnerabilidades fueron catalogadas con identificadores CVE y puntuaciones altas de severidad: CVE-2026-40176 (CVSS 7.8) y CVE-2026-40261 (CVSS 8.8). Puede consultar los detalles técnicos en la base de datos del NVD: CVE-2026-40176 y CVE-2026-40261.
En términos sencillos, ambas vulnerabilidades provienen de una validación y escapado insuficiente de datos que provienen de la configuración de un repositorio Perforce declarada en un archivo composer.json. Un repositorio malicioso puede incluir campos diseñados para inyectar caracteres especiales de shell o secuencias que Composer termina ejecutando. Lo preocupante es que, según los mantenedores, Composer puede llegar a ejecutar esos comandos incluso si Perforce no está instalado en el sistema, porque el código del controlador procesa la metadata y la transforma en llamadas que terminan en el shell.
Qué versiones están afectadas y cuáles contienen la corrección: las fallas impactan las ramas 2.0 y 2.3 en determinados rangos. Las correcciones se han publicado en las versiones 2.2.27 y 2.9.6; si su instalación de Composer está por debajo de esos límites debe actualizar cuanto antes. Puede revisar el proyecto y los avisos en el repositorio oficial de Composer en GitHub: github.com/composer/composer.
Si por alguna razón no es posible aplicar la actualización de inmediato, hay medidas intermedias que reducen el riesgo. Una de las más importantes es inspeccionar manualmente los archivos composer.json antes de ejecutar Composer en proyectos que no provengan de fuentes absolutamenta confiables: verifique que no existan entradas relacionadas con Perforce que contengan valores extraños o caracteres especiales. Además, conviene limitar la instalación a repositorios y paquetes de confianza y evitar, salvo que esté seguro de la procedencia, el uso de la opción --prefer-dist o la configuración preferred-install: dist, porque esas rutas pueden exponer metadatos externos manipulables.
Los responsables de Composer han realizado un barrido en Packagist.org y, por el momento, no han encontrado evidencia de que actores maliciosos hayan explotado estas fallas publicando paquetes con metadatos de Perforce manipulados. Aun así, como medida preventiva, la publicación de metadata relacionada con Perforce fue deshabilitada en Packagist.org a partir del viernes 10 de abril de 2026. Si usa Packagist puede consultar la plataforma en packagist.org.
Si administra instalaciones corporativas o una instancia self-hosted (Private Packagist), atención: los equipos indicaron que se espera una nueva entrega destinada a clientes de Packagist Self-Hosted para abordar y coordinar la mitigación en entornos controlados. Mientras tanto, las buenas prácticas de seguridad —actualizar, auditar metadatos y limitar el uso de fuentes no verificadas— son las defensas más eficaces.
Este incidente recuerda que incluso las herramientas de confianza, al procesar metadata externa, pueden convertirse en vectores de ejecución remota si no se valida ni escapa correctamente la entrada. Si gestiona proyectos PHP, la recomendación práctica y urgente es actualizar Composer a las versiones que corrigen ambas vulnerabilidades y revisar los procesos automatizados que ejecuten Composer sobre código de terceros.
Para más información y seguimiento, consulte las entradas oficiales y los avisos de seguridad del proyecto Composer y la base de datos nacional de vulnerabilidades: getcomposer.org, advisories en GitHub, y la ficha de cada CVE en el NVD mencionada arriba.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...