CVE-2026-41570 in phpunitinfo

Zusammenfassung

von VulDB • 27.05.2026

PHPUnit ist ein Test-Framework für PHP. In den Versionen 12.5.21 und 13.1.5 leitet PHPUnit PHP INI-Einstellungen an Kindprozesse (die für die isolierte/PHPT-Testausführung verwendet werden) als Befehlszeilenargumente im Format -d name=value weiter, ohne INI-Metazeichen zu neutralisieren. Da der PHP INI-Parser " als String-Trennzeichen, ; als Beginn eines Kommentars und vor allem einen Zeilenumbruch als Direktiventrennzeichen interpretiert, wird ein Wert, der einen Zeilenumbruch enthält, vom Kindprozess als mehrere INI-Direktiven geparst. Ein Angreifer, der einen einzelnen INI-Wert beeinflussen kann, kann daher beliebige zusätzliche Direktiven in die Konfiguration des Kindprozesses einschleusen, darunter auto_prepend_file, extension, disable_functions, open_basedir und andere. Das Festlegen von auto_prepend_file auf einen vom Angreifer kontrollierten Pfad führt zur Remote Code Execution (RCE) im Kindprozess. Dieses Problem wurde in den Versionen 12.5.22 und 13.1.6 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

21.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362176

CPE

bereit

EPSS

0.00075

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41570
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41570
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41570/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!