La nueva vulnerabilidad de PHP Composer permite a los atacantes ejecutar comandos arbitrarios
Resumen Informativo
De acuerdo a la publicación titulada La nueva vulnerabilidad de PHP Composer permite a los atacantes ejecutar comandos arbitrarios, difundida en fecha 15/04/2026 14:12, por el medio Cybersecuritynews (Autor: Abinaya):
PHP Composer lanzó actualizaciones de seguridad urgentes para abordar dos vulnerabilidades críticas de inyección de comandos. Estos errores específicos residen en el controlador del sistema de control de versiones (VCS) Perforce y permiten a los atacantes ejecutar comandos arbitrarios en la máquina de la víctima.
Según el aviso de seguridad oficial publicado por Nils Adermann, las vulnerabilidades se deben a una fuga insuficiente de valores al construir comandos de shell. Vulnerabilidad de PHP Composer Los dos problemas de seguridad exponen a los desarrolladores de software a graves riesgos al manejar proyectos que no son de confianza o metadatos de paquetes maliciosos. CVE-2026-40176: descubierta por el investigador de seguridad saku0512, esta vulnerabilidad afecta directamente al método interno utilizado para generar comandos Perforce. Los atacantes pueden inyectar comandos arbitrarios sin problemas manipulando parámetros de conexión como el puerto, el usuario o el cliente dentro de un archivo composer.json malicioso.
Inspeccione cuidadosamente los archivos composer.json de cualquier proyecto que no sea de confianza antes de ejecutar los comandos de Composer, verificando que todos los campos relacionados con Perforce contengan datos válidos. La publicación La nueva vulnerabilidad de PHP Composer permite a los atacantes ejecutar comandos arbitrarios apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | La nueva vulnerabilidad de PHP Composer permite a los atacantes ejecutar comandos arbitrarios |
| Publicado: | 15/04/2026 14:12 |
| Enlace: | https://cybersecuritynews.com/php-composer-vulnerability |
| Consultado: | 15/04/2026 |
