https://brdefense.center/tags/composer/Recent content in Composer on BR Defense CenterHugopt-brTue, 14 Apr 2026 19:33:49 -0300https://brdefense.center/news/vulnerabilidades-criticas-no-composer-podem-permit/Tue, 14 Apr 2026 19:33:49 -0300https://brdefense.center/news/vulnerabilidades-criticas-no-composer-podem-permit/<p>Duas vulnerabilidades de alta severidade foram identificadas no Composer, um gerenciador de pacotes para PHP, que podem permitir a execução arbitrária de comandos. As falhas, classificadas como CVE-2026-40176 e CVE-2026-40261, afetam o driver do Perforce VCS (software de controle de versão). A primeira vulnerabilidade (CVE-2026-40176) resulta de uma validação inadequada de entrada, permitindo que um atacante controle a configuração de um repositório malicioso para injetar comandos. A segunda (CVE-2026-40261) é causada por uma falta de escape adequado, permitindo a injeção de comandos através de referências de origem manipuladas. Ambas as falhas podem ser exploradas mesmo que o Perforce VCS não esteja instalado. As versões afetadas incluem Composer &gt;= 2.3 e &lt; 2.9.6, além de &gt;= 2.0 e &lt; 2.2.27, com correções disponíveis nas versões 2.9.6 e 2.2.27, respectivamente. Recomenda-se que os usuários inspecionem os arquivos composer.json antes de executar o Composer e utilizem apenas repositórios confiáveis. Embora a Composer tenha verificado o Packagist.org e não encontrado evidências de exploração ativa, a publicação de metadados de origem do Perforce foi desativada como precaução.</p>