Descubiertas fallas en PHP Composer que permiten la ejecución remota de comandos

Se han revelado dos vulnerabilidades de alta gravedad en Composer, un administrador de paquetes para PHP muy utilizado en el desarrollo web. Si un atacante las explota con éxito, podría ejecutar comandos arbitrarios en tu sistema, lo que significa que podría tomar el control de tu servidor o computadora. Imagina que alguien pudiera escribir comandos en secreto que tu ordenador ejecuta sin que te des cuenta: eso es lo que estas vulnerabilidades permiten.

¿Cómo funcionan estas vulnerabilidades?

Las vulnerabilidades son fallas de inyección de comandos que afectan al controlador Perforce VCS (un sistema de control de versiones). En términos sencillos, esto significa que un atacante podría manipular la configuración de un proyecto PHP para que, al instalar las dependencias con Composer, se ejecuten comandos maliciosos sin tu consentimiento.

• CVE-2026-40176 (CVSS score: 7.8): Esta vulnerabilidad se produce por una validación incorrecta de las entradas, permitiendo a un atacante inyectar comandos arbitrarios a través de un archivo composer.json (el archivo de configuración de Composer) malicioso.
• CVE-2026-40261 (CVSS score: 8.8): Similar a la anterior, esta vulnerabilidad surge de un escape inadecuado de caracteres, lo que permite inyectar comandos a través de una referencia de código fuente manipulada.

Lo más preocupante es que Composer ejecutaría estos comandos inyectados incluso si Perforce VCS no está instalado en el sistema.

¿A quién afecta?

Estas vulnerabilidades afectan a las siguientes versiones de Composer:

• >= 2.3, < 2.9.6 (Solucionado en la versión 2.9.6)
• >= 2.0, < 2.2.27 (Solucionado en la versión 2.2.27)

Si utilizas alguna de estas versiones, estás en riesgo.

¿Cómo protegerse?

La solución más efectiva es actualizar Composer a la última versión disponible. Si no puedes actualizar de inmediato, Composer recomienda inspeccionar los archivos composer.json antes de ejecutar Composer y verificar que los campos relacionados con Perforce contengan valores válidos. Otras recomendaciones incluyen:

• Utilizar solo repositorios de Composer de confianza.
• Ejecutar comandos de Composer en proyectos de fuentes confiables.
• Evitar instalar dependencias usando la opción --prefer-dist o la configuración preferred-install: dist.

¿Qué significa esto para ti?

Si eres desarrollador PHP, esta noticia te concierne directamente. Es crucial que actualices Composer y tomes las precauciones necesarias para proteger tus proyectos de posibles ataques. Incluso si no utilizas Perforce VCS, estas vulnerabilidades pueden afectarte. La seguridad de la cadena de suministro de software es un tema cada vez más importante, y este es un claro ejemplo de por qué debemos ser diligentes y estar al tanto de las últimas vulnerabilidades y cómo mitigarlas.