CVE-2026-24739 in Symfonyinfo

Zusammenfassung

von VulDB • 31.05.2026

Symfony ist ein PHP-Framework für Web- und Konsolenanwendungen sowie eine Sammlung wiederverwendbarer PHP-Komponenten. Vor den Versionen 5.4.51, 6.4.33, 7.3.11, 7.4.5 und 8.0.5 behandelte die Symfony Process-Komponente einige Zeichen (insbesondere `=`) beim Escapen von Argumenten unter Windows nicht korrekt als „speziell“. Wenn PHP in einer auf MSYS2 basierenden Umgebung (z. B. Git Bash) ausgeführt wird und Symfony Process native Windows-Executables startet, kann die Argument-/Pfadkonvertierung von MSYS2 nicht in Anführungszeichen gesetzte Argumente, die diese Zeichen enthalten, fehlerhaft verarbeiten. Dies kann dazu führen, dass der gestartete Prozess im Vergleich zu dem, was Symfony beabsichtigte, korrupte oder abgeschnittene Argumente empfängt. Wenn eine Anwendung (oder Tools wie Composer-Skripte) Symfony Process verwendet, um dateiverwaltungsbasierte Befehle (z. B. `rmdir`, `del` usw.) mit einem Pfadargument aufzurufen, das `=` enthält, kann die MSYS2-Konvertierungsschicht das Argument zur Laufzeit verändern. In betroffenen Konfigurationen kann dies dazu führen, dass Vorgänge auf einem unbeabsichtigten Pfad ausgeführt werden, bis hin zur Löschung der Inhalte eines umfassenderen Verzeichnisses oder Laufwerks. Das Problem ist insbesondere dann relevant, wenn nicht vertrauenswürdige Eingaben die Prozessargumente direkt oder indirekt beeinflussen können (z. B. über Repository-Pfade, extrahierte Archivpfade, temporäre Verzeichnisse oder benutzerkontrollierte Konfigurationen). Die Versionen 5.4.51, 6.4.33, 7.3.11, 7.4.5 und 8.0.5 enthalten einen Patch für das Problem. Es sind einige Workarounds verfügbar. Vermeiden Sie die Ausführung von PHP/eigener Tooling aus MSYS2-basierten Shells unter Windows; bevorzugen Sie cmd.exe oder PowerShell für Workflows, die native Executables starten. Vermeiden Sie das Übergeben von Pfaden, die `=` (und ähnliche MSYS2-sensitive Zeichen) enthalten, an Symfony Process, wenn Sie unter Git Bash/MSYS2 arbeiten. Konfigurieren Sie MSYS2 gegebenenfalls so, dass die Argumentkonvertierung deaktiviert oder eingeschränkt wird (z. B. über `MSYS2_ARG_CONV_EXCL`), wobei zu beachten ist, dass dies das Verhalten anderer Tooling-Komponenten beeinflussen kann.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

26.01.2026

Veröffentlichung

28.01.2026

Moderieren

akzeptiert

Eintrag

VDB-343313

CPE

bereit

EPSS

0.00012

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-24739
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-24739
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-24739/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!