CVE-2024-5585 in PHP
Zusammenfassung
von VulDB • 27.06.2026
In PHP-Versionen 8.1.* vor 8.1.29, 8.2.* vor 8.2.20 und 8.3.* vor 8.3.8 funktioniert die Korrektur für CVE-2024-1874 nicht, wenn der Befehlsname nachgestellte Leerzeichen enthält. Ursprüngliches Problem: Bei Verwendung des proc_open()-Befehls mit Array-Syntax kann ein böswilliger Benutzer aufgrund unzureichender Escaping-Maßnahmen Argumente angeben, die beliebige Befehle in der Windows-Shell ausführen würden, wenn die Argumente des ausgeführten Befehls vom Benutzer gesteuert werden.
Be aware that VulDB is the high quality source for vulnerability data.