PHP Composer est impacté par deux nouvelles failles de sécurité importantes pouvant permettre à un attaquant d’exécuter du code sur le serveur vulnérable en cas d’exploitation réussie. Comment se protéger ? Voici l’essentiel à savoir.
Si vous installez de temps en temps des applications Web, vous avez sûrement déjà eu l’occasion d’utiliser PHP Composer pour installer certains paquets. Cet outil très populaire est affecté par deux nouvelles de sécurité : CVE-2026-40176 et CVE-2026-40261.
Ces vulnérabilités se situent dans le pilote de son logiciel de contrôle de version (VCS) Perforce. Toutefois, un attaquant pourrait exploiter ces failles dans Composer pour exécuter des commandes malveillantes même si Perforce VCS n’est pas installé sur la machine cible !
Voici ce que l’on sait sur ces problèmes de sécurité :
CVE-2026-40176 (score CVSS : 7.8 / 10) : il s’agit d’une vulnérabilité liée à une mauvaise validation des entrées. Si un attaquant parvient à contrôler la configuration d’un dépôt via un fichier composer.json malveillant qui déclare un dépôt Perforce VCS, il a la possibilité d’injecter des commandes arbitraires. Celles-ci seront alors exécutées avec les privilèges de l’utilisateur qui exécute Composer.
CVE-2026-40261 (score CVSS : 8.8 / 10) : cette seconde faiblesse, du même type que la première, provient d’un échappement inadéquat. Elle permet à un attaquant d’injecter des commandes à l’aide d’une référence de source manipulée pour contenir des métacaractères shell.
Ces vulnérabilités ont été détaillées dans ce rapport.
Les versions impactées et les mesures de protection
Les versions affectées par ces deux failles sont les suivantes :
Les versions supérieures ou égales à 2.3 et antérieures à la 2.9.6 (la faille est corrigée dans la version 2.9.6).
Les versions supérieures ou égales à 2.0 et antérieures à la 2.2.27 (la faille est corrigée dans la version 2.2.27).
Cela signifie donc que les deux versions patchées sont les suivantes : 2.9.6 et 2.2.27. La version 2.2.27 est d’ailleurs celle rattachée à la branche 2.2 LTS.
Si vous ne pouvez pas appliquer ce correctif dans l’immédiat, voici les recommandations à suivre :
Inspecter les fichiers composer.json avant de lancer Composer afin de vérifier que les champs liés à Perforce contiennent bien des valeurs valides.
Se limiter exclusivement à l’utilisation de dépôts Composer de confiance.
N’exécuter les commandes Composer que sur des projets provenant de sources fiables.
Éviter d’installer des dépendances en utilisant les paramètres de configuration –prefer-dist ou preferred-install: dist.
Même si la situation peut évoluer, il y a tout de même une bonne nouvelle : l’équipe derrière Composer a scanné l’intégralité de la plateforme Packagist.org et n’a trouvé à ce jour aucune preuve d’une exploitation de ces failles par des cybercriminels. Autrement dit, il n’y aurait pas de paquets malveillants cherchant à manipuler les appels Perforce.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.