PHP Composer : deux failles critiques permettent l'exécution de commandes via le pilote Perforce VCS
🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...