Composer, a ferramenta de gestão de pacotes mais usada no ecossistema PHP, publicou correcções para duas falhas de segurança graves que, exploradas com sucesso, permitiriam a execução de comandos arbitrários na máquina onde o Composer é executado. Estes problemas estão relacionados ao controlador de Perforce como sistema de controle de versões e afetam vários ramos de Composer 2.x.
As duas vulnerabilidades foram catalogadas com identificadores CVE e pontuações altas de severidade: CVE-2026-40176 (CVSS 7.8) e CVE-2026-40261 (CVSS 8.8). Os detalhes técnicos podem ser consultados na base de dados da NVD: CVE-2026-40176 e CVE-2026-40261.
Em termos simples, ambas as vulnerabilidades provêm de uma validação e escapamento insuficiente de dados que vêm da configuração de um repositório Perforce declarada num ficheiro composer.json. Um repositório malicioso pode incluir campos desenhados para injetar caracteres especiais de shell ou sequências que Composer termina executando. O preocupante é que, segundo os mantenedores, Composer pode chegar a executar esses comandos mesmo que Perforce não esteja instalado no sistema, porque o código do controlador processa a metadata e a transforma em chamadas que terminam no shell.
Que versões estão afetadas e quais contêm a correção: As falhas impactam os ramos 2.0 e 2.3 em determinados intervalos. As correcções foram publicadas nas versões 2.2.27 e 2.9.6; se a sua instalação de Composer estiver abaixo desses limites deve actualizar o mais rapidamente possível. Você pode rever o projeto e os avisos no repositório oficial do Composer no GitHub: github.com/composer/composer.
Se por alguma razão não for possível aplicar a actualização imediata, existem medidas intermédias que reduzem o risco. Uma das mais importantes é inspeccionar manualmente os ficheiros composer.json antes de executar o Composer em projectos que não provem de fontes absolutamenta confiáveis: verifique se não existem itens relacionados com o Perforce que contenham valores estranhos ou caracteres especiais. Além disso, convém limitar a instalação a repositórios e pacotes de confiança e evitar, excepto se tiver a certeza da proveniência, a utilização da opção -- prefer- dist ou configuração preferred- install: dist, porque essas rotas podem expor metadados externos manipuláveis.
Os responsáveis pela Composer fizeram um barrido em Packagist.org e, no momento, não encontraram evidência de que atores maliciosos tenham explorado essas falhas publicando pacotes com metadados de Perforce manipulados. Ainda assim, como medida preventiva, a publicação de metadata relacionada com Perforce foi desativada em Packagist.org a partir de sexta-feira 10 de abril de 2026. Se utilizar Packagist, consulte a plataforma packagist.org.
Se administrar instalações corporativas ou uma instância self-hosted (Private Packagist), atenção: As equipes indicaram que se espera uma nova entrega destinada a clientes de Packagist Self-Hosted para abordar e coordenar a mitigação em ambientes controlados. Entretanto, as boas práticas de segurança —atualizar, auditar meta- dados e limitar o uso de fontes não verificadas — são as defesas mais eficazes.
Este incidente lembra que mesmo as ferramentas de confiança, ao processar metadata externa, podem se tornar vetores de execução remota se não for valida ou escapa corretamente a entrada. Se gerenciar projetos PHP, a recomendação prática e urgente é atualizar Composer às versões que corrigem ambas as vulnerabilidades e revisar os processos automatizados que executem Composer sobre código de terceiros.
Para mais informações e seguimento, consulte as entradas oficiais e os avisos de segurança do projeto Composer e a base de dados nacional de vulnerabilidades: getcomposer.org, advisories no GitHub, e a ficha de cada CVE no NVD mencionada acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...