Composer, l'outil de gestion de paquets le plus utilisé dans l'écosystème PHP, a publié des corrections pour deux graves défaillances de sécurité qui, exploitées avec succès, permettraient l'exécution de commandes arbitraires sur la machine où Composer est exécuté. Ces problèmes sont liés au contrôleur Perforce en tant que système de contrôle de version et affectent plusieurs branches de Compositeur 2.x.
Les deux vulnérabilités ont été cataloguées avec des identificateurs CVE et des scores de sévérité élevés : CVE-2026-40176 (CVSS 7.8), et CVE-2026-40261 (CVSS 8.8). Les détails techniques se trouvent dans la base de données NVD: CVE-2026-40176 et CVE-2026-40261.
En termes simples, les deux vulnérabilités proviennent d'une validation insuffisante et de l'évasion des données de la configuration d'un dépôt Perforce déclaré dans un compositeur. Jsonfile. Un dépôt malveillant peut inclure des champs conçus pour injecter des caractères ou des séquences shell spéciaux que Composer finit par exécuter. La chose inquiétante est que, selon les responsables, Composer peut exécuter ces commandes même si Perforce n'est pas installé dans le système, parce que le code du contrôleur traite les métadonnées et les transforme en appels qui finissent dans le shell.
Quelles versions sont affectées et qui contiennent la correction: les défaillances impact branches 2.0 et 2.3 dans certaines gammes. Les corrections ont été publiées dans les versions 2.2.27 et 2.9.6; si votre installation Compositeur est inférieure à ces limites, il devrait être mis à jour dès que possible. Vous pouvez consulter le projet et les avis dans le dépôt officiel de Compositeur dans GitHub: github.com / compositeur / compositeur.
Si, pour une raison quelconque, il n'est pas possible d'appliquer la mise à jour immédiatement, il existe des mesures intermédiaires qui réduisent le risque. L'un des plus importants est d'inspecter manuellement le compositeur. fichiers json avant d'exécuter Compositeur dans des projets qui ne proviennent pas de sources absolues fiables: vérifier qu'il n'y a pas d'entrées liées à Perforce contenant des valeurs étrangères ou des caractères spéciaux. De plus, l'installation devrait se limiter aux dépôts et aux paquets de confiance et l'utilisation de l'option devrait être évitée à moins qu'elle ne soit sûre de la source. --préféré-dist ou la configuration préfixe parce que ces itinéraires peuvent exposer des métadonnées externes manipulatrices.
Les responsables du compositeur ont effectué un balayage à Packagist.org et, à l'heure actuelle, n'ont trouvé aucune preuve que des acteurs malveillants ont exploité ces échecs en publiant des paquets avec des métadonnées Perforce manipulées. Toutefois, à titre préventif, la publication des métadonnées relatives à Perforce a été désactivée à Packagist.org à partir du vendredi 10 avril 2026. Si vous utilisez Packagist, vous pouvez vérifier la plateforme packagist.org.
Si vous administrez des installations d'entreprise ou une instance autonome (Private Packagist), attention: Les équipes ont indiqué qu'une nouvelle livraison est prévue pour les clients de Packagist Self-Hosted pour traiter et coordonner l'atténuation dans des environnements contrôlés. Entre-temps, les bonnes pratiques de sécurité - mettre à jour, vérifier les métadonnées et limiter l'utilisation de sources non vérifiées - sont les défenses les plus efficaces.
Cet incident rappelle que même les outils de confiance, lors du traitement des métadonnées externes, peuvent devenir des vecteurs à distance si l'entrée n'est pas correctement validée ou échappée. Si vous gérez des projets PHP, la recommandation pratique et urgente est de mettre à jour Composer vers les versions qui corrigent à la fois les vulnérabilités et de revoir les processus automatisés que vous exécutez Composer sur le code tiers.
Pour plus d'informations et de suivi, consultez les entrées officielles et les avis de sécurité du projet Compositeur et la base de données sur la vulnérabilité nationale : getcomposer.org, Avis en GitHub et l'onglet de chaque QE dans la DNV mentionnée ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...