{"id":552,"date":"2026-04-14T18:11:47","date_gmt":"2026-04-14T18:11:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/nuevas-fallas-de-php-composer-permiten-la-ejecucion-de-comandos-arbitrarios-parches-publicados-cyberdefensa-mx\/"},"modified":"2026-04-14T18:11:47","modified_gmt":"2026-04-14T18:11:47","slug":"nuevas-fallas-de-php-composer-permiten-la-ejecucion-de-comandos-arbitrarios-parches-publicados-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/nuevas-fallas-de-php-composer-permiten-la-ejecucion-de-comandos-arbitrarios-parches-publicados-cyberdefensa-mx\/","title":{"rendered":"Nuevas fallas de PHP Composer permiten la ejecuci\u00f3n de comandos arbitrarios: parches publicados \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Se han detectado dos vulnerabilidades de seguridad de alta gravedad. <a href=\"https:\/\/blog.packagist.com\/composer-2-9-6-perforce-driver-command-injection-vulnerabilities\/\">revelado<\/a> en Composer, un administrador de paquetes para PHP, que, si se explota con \u00e9xito, podr\u00eda resultar en la ejecuci\u00f3n de comandos arbitrarios.<\/p>\n<p>Las vulnerabilidades se han descrito como fallas de inyecci\u00f3n de comandos que afectan al controlador Perforce VCS (software de control de versiones). Los detalles de los dos defectos se encuentran a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/github.com\/composer\/composer\/security\/advisories\/GHSA-wg36-wvj6-r67p\">CVE-2026-40176<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 7,8): una vulnerabilidad de validaci\u00f3n de entrada inadecuada que podr\u00eda permitir a un atacante controlar una configuraci\u00f3n de repositorio en un compositor.json malicioso que declara un repositorio Perforce VCS para inyectar comandos arbitrarios, lo que resulta en la ejecuci\u00f3n de comandos en el contexto del usuario que ejecuta Composer.<\/li>\n<li><strong><a href=\"https:\/\/github.com\/composer\/composer\/security\/advisories\/GHSA-gqw4-4w2p-838q\">CVE-2026-40261<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 8,8) \u2013 Una vulnerabilidad de validaci\u00f3n de entrada inadecuada derivada de una <a href=\"https:\/\/en.wikipedia.org\/wiki\/Escape_sequence\">escapando<\/a> eso podr\u00eda permitir a un atacante inyectar comandos arbitrarios a trav\u00e9s de una referencia fuente dise\u00f1ada que contenga metacaracteres de shell.<\/li>\n<\/ul>\n<p>En ambos casos, Composer ejecutar\u00eda estos comandos inyectados incluso si Perforce VCS no est\u00e1 instalado, se\u00f1alaron los mantenedores en un aviso.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Las vulnerabilidades afectan a las siguientes versiones:<\/p>\n<ul>\n<li>&gt;= 2.3, &lt; 2.9.6 (Corregido en la versi\u00f3n 2.9.6)<\/li>\n<li>&gt;= 2.0, &lt; 2.2.27 (Corregido en la versi\u00f3n 2.2.27)<\/li>\n<\/ul>\n<p>Si el parche inmediato no es una opci\u00f3n, se recomienda inspeccionar los archivos compositor.json antes de ejecutar Composer y verificar que los campos relacionados con Perforce contengan valores v\u00e1lidos. Tambi\u00e9n se recomienda utilizar \u00fanicamente repositorios confiables de Composer, ejecutar comandos de Composer en proyectos de fuentes confiables y evitar instalar dependencias usando la opci\u00f3n de configuraci\u00f3n \u00ab\u2013prefer-dist\u00bb o \u00abpreferred-install: dist\u00bb.<\/p>\n<p>Composer dijo que escane\u00f3 Packagist.org y no encontr\u00f3 ninguna evidencia de que los actores de amenazas explotaran las vulnerabilidades antes mencionadas mediante la publicaci\u00f3n de paquetes con informaci\u00f3n maliciosa de Perforce. Se espera que se env\u00ede una nueva versi\u00f3n para los clientes de Private Packagist Self-Hosted.<\/p>\n<p>\u00abComo precauci\u00f3n, la publicaci\u00f3n de los metadatos fuente de Perforce ha sido deshabilitada en Packagist.org desde el viernes 10 de abril de 2026\u00bb, dec\u00eda. \u00abLas instalaciones de Composer deben actualizarse inmediatamente de todos modos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Se han detectado dos vulnerabilidades de seguridad de alta gravedad. revelado en Composer, un administrador de paquetes para PHP, que, si se explota con \u00e9xito, podr\u00eda resultar en la ejecuci\u00f3n de comandos arbitrarios. Las vulnerabilidades se han descrito como fallas de inyecci\u00f3n de comandos que afectan al controlador Perforce VCS (software de control de versiones). [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1811,176,1810,24,766,103,676,713,765,1549,1812],"class_list":["post-552","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-arbitrarios","tag-comandos","tag-composer","tag-cyberdefensa-mx","tag-ejecucion","tag-fallas","tag-nuevas","tag-parches","tag-permiten","tag-php","tag-publicados"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/552","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=552"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/552\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=552"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}