Дослідники розкрили дві вразливості високого ступеня небезпеки в Composer — основному менеджері пакетів для PHP. Обидві стосуються ін’єкції команд через драйвер для системи контролю версій Perforce VCS. CVE-2026-40176 з оцінкою CVSS 7.8 — вразливість через некоректну перевірку вхідних даних: зловмисник, який контролює конфігурацію репозиторію у файлі composer.json, може впровадити довільні команди, які виконуватимуться від імені користувача, що запускає Composer. CVE-2026-40261 з вищою оцінкою CVSS 8.8 — вразливість недостатнього екранування спеціальних символів командного рядка: атакуючий може впровадити команди через підроблене посилання на джерело, що містить так звані «shell metacharacters» — символи, які командний рядок операційної системи інтерпретує як спеціальні інструкції.

Composer є де-факто стандартним інструментом для управління залежностями у PHP-розробці і встановлений у переважній більшості PHP-проєктів у світі — включно з популярними CMS, фреймворками та серверними застосунками. Вразливості у Composer можуть мати каскадний ефект: якщо зловмисник змусить розробника або CI/CD-систему запустити Composer із підконтрольним конфігураційним файлом, він отримує виконання коду безпосередньо на сервері збирання або середовищі розробника.