CVE-2024-5585 in PHPinfo

Zusammenfassung

von VulDB • 27.06.2026

In PHP-Versionen 8.1.* vor 8.1.29, 8.2.* vor 8.2.20 und 8.3.* vor 8.3.8 funktioniert die Korrektur für CVE-2024-1874 nicht, wenn der Befehlsname nachgestellte Leerzeichen enthält. Ursprüngliches Problem: Bei Verwendung des proc_open()-Befehls mit Array-Syntax kann ein böswilliger Benutzer aufgrund unzureichender Escaping-Maßnahmen Argumente angeben, die beliebige Befehle in der Windows-Shell ausführen würden, wenn die Argumente des ausgeführten Befehls vom Benutzer gesteuert werden.

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

01.06.2024

Veröffentlichung

09.06.2024

Moderieren

akzeptiert

Eintrag

VDB-267595

CPE

bereit

EPSS

0.28807

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!