O que é o Composer

O Composer é um gerenciador de pacotes para a linguagem PHP, amplamente utilizado para gerenciar dependências de projetos PHP. Ele permite que desenvolvedores definam as bibliotecas que o projeto necessita e as instala automaticamente.

Como funcionam as falhas

As falhas descobertas no Composer são do tipo injeção de comandos, afetando o driver Perforce VCS. Elas permitem que um invasor execute comandos arbitrários ao manipular arquivos composer.json maliciosos.

Sinais de alerta

Para identificar possíveis explorações, fique atento a:

• Configurações de repositório suspeitas no composer.json
• Referências de origem contendo metacaracteres de shell

Como se proteger

Para se proteger, siga estas recomendações:

• Atualize o Composer para as versões corrigidas 2.9.6 ou 2.2.27
• Verifique arquivos composer.json antes de executar o Composer
• Utilize apenas repositórios confiáveis

Checklist pratico

1. Atualize o Composer imediatamente
2. Revise arquivos composer.json em busca de configurações suspeitas
3. Evite usar configurações "--prefer-dist" ou "preferred-install: dist"

Perguntas frequentes

Quais versões do Composer são afetadas?

As versões afetadas são >= 2.3, < 2.9.6 e >= 2.0, < 2.2.27.

O que fazer se não puder atualizar imediatamente?

Revise e valide arquivos composer.json e utilize repositórios confiáveis.

Como saber se fui afetado?

Verifique logs de execução do Composer e procure por comandos inesperados.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao, SGSI, Plano Diretor de Seguranca e Auditoria Interna. mfa2go.com

Fontes:
https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html