Blog

Falhas no PHP Composer permitem invasao - saiba como se proteger

Escrito por Luiz Claudio | 14/04/2026 21:02:40
Vulnerabilidade

Falhas no PHP Composer permitem invasao - saiba como se proteger

Duas vulnerabilidades graves foram descobertas no Composer, um gerenciador de pacotes para PHP, que podem resultar na execucao de comandos arbitrarios.

Navegacao

O que é o ComposerComo funcionam as falhasSinais de alertaComo se protegerChecklist prático

Resumo rapido

Duas falhas de segurança no PHP Composer podem permitir que atacantes executem comandos arbitrários. Atualizações já foram lançadas para corrigir essas vulnerabilidades.

Neste artigo voce vai aprender:

  • O que é o PHP Composer
  • Como as falhas podem ser exploradas
  • Quais são os sinais de alerta
  • Como se proteger dessas vulnerabilidades
  • Um checklist prático de segurança

O que é o Composer

O Composer é um gerenciador de pacotes para a linguagem PHP, amplamente utilizado para gerenciar dependências de projetos PHP. Ele permite que desenvolvedores definam as bibliotecas que o projeto necessita e as instala automaticamente.

Como funcionam as falhas

As falhas descobertas no Composer são do tipo injeção de comandos, afetando o driver Perforce VCS. Elas permitem que um invasor execute comandos arbitrários ao manipular arquivos composer.json maliciosos.

Sinais de alerta

Para identificar possíveis explorações, fique atento a:

  • Configurações de repositório suspeitas no composer.json
  • Referências de origem contendo metacaracteres de shell

Como se proteger

Para se proteger, siga estas recomendações:

  • Atualize o Composer para as versões corrigidas 2.9.6 ou 2.2.27
  • Verifique arquivos composer.json antes de executar o Composer
  • Utilize apenas repositórios confiáveis

Checklist pratico

  1. Atualize o Composer imediatamente
  2. Revise arquivos composer.json em busca de configurações suspeitas
  3. Evite usar configurações "--prefer-dist" ou "preferred-install: dist"

Perguntas frequentes

Quais versões do Composer são afetadas?

As versões afetadas são >= 2.3, < 2.9.6 e >= 2.0, < 2.2.27.

O que fazer se não puder atualizar imediatamente?

Revise e valide arquivos composer.json e utilize repositórios confiáveis.

Como saber se fui afetado?

Verifique logs de execução do Composer e procure por comandos inesperados.

Proteja sua empresa com a LC SEC

A LC SEC oferece serviços de segurança para proteger sua empresa contra vulnerabilidades como estas. Entre em contato para saber mais.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao, SGSI, Plano Diretor de Seguranca e Auditoria Interna. mfa2go.com

Fontes:
https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html
Visualizar publicação completa