🗓️ Contexte

Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP.

🔍 Vulnérabilités identifiées

Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer :

  • CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer.
  • CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell.

⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible.

🎯 Versions affectées

  • Versions ≥ 2.3 et < 2.9.6 → corrigées dans 2.9.6
  • Versions ≥ 2.0 et < 2.2.27 → corrigées dans 2.2.27 (branche LTS 2.2)

📦 État de l’exploitation

L’équipe Composer a scanné l’intégralité de la plateforme Packagist.org et n’a trouvé aucune preuve d’exploitation active ni de paquets malveillants ciblant ces failles à la date de publication.

📄 Type d’article

Il s’agit d’un article de presse spécialisée à visée informative, présentant deux vulnérabilités corrigées dans PHP Composer avec leurs détails techniques et les versions patchées.

🧠 TTPs et IOCs détectés

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-40176NVD · CIRCL
  • CVEs : CVE-2026-40261NVD · CIRCL
  • Fichiers : composer.json

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ it-connect.fr — source non référencée (0pts)
  • ✅ 3472 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.it-connect.fr/php-composer-ces-deux-failles-ouvrent-la-porte-a-lexecution-de-commande/