https://cyberveille.ch/tags/php-composer/ Recent content in PHP Composer on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-php-composer-deux-failles-critiques-permettent-l-execution-de-commandes-via-le-pilote-perforce-vcs/ Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-php-composer-deux-failles-critiques-permettent-l-execution-de-commandes-via-le-pilote-perforce-vcs/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant <strong>PHP Composer</strong>, l&rsquo;outil de gestion de dépendances très répandu dans l&rsquo;écosystème PHP.</p> <h2 id="-vulnérabilités-identifiées">🔍 Vulnérabilités identifiées</h2> <p>Deux failles de sécurité ont été divulguées, toutes deux localisées dans le <strong>pilote VCS (Version Control System) Perforce</strong> de Composer :</p> <ul> <li><strong>CVE-2026-40176</strong> (CVSS : 7.8/10) : vulnérabilité de <strong>mauvaise validation des entrées</strong>. Un attaquant contrôlant la configuration d&rsquo;un dépôt via un fichier <code>composer.json</code> malveillant déclarant un dépôt Perforce VCS peut <strong>injecter des commandes arbitraires</strong>, exécutées avec les privilèges de l&rsquo;utilisateur lançant Composer.</li> <li><strong>CVE-2026-40261</strong> (CVSS : 8.8/10) : vulnérabilité d&rsquo;<strong>échappement inadéquat</strong>. Elle permet l&rsquo;injection de commandes via une <strong>référence de source manipulée contenant des métacaractères shell</strong>.</li> </ul> <p>⚠️ Ces failles sont exploitables <strong>même si Perforce VCS n&rsquo;est pas installé</strong> sur la machine cible.</p>