CVE-2026-42552 in coreinfo

Zusammenfassung

von VulDB • 14.05.2026

Flight ist ein erweiterbares Micro-Framework für PHP. Vor Version 3.18.1 schreibt der Standard-Fehlerhandler Engine::_error() die vollständige Ausnahme-Nachricht, den Ausnahmecode und den Stack-Trace (einschließlich absoluter Dateisystem-Pfade) direkt in die HTTP-500-Antwort, ohne jegliche Debug-Steuerung. In Produktionsumgebungen werden dadurch interne Pfade, jedes in eine Ausnahme-Nachricht interpolierte Geheimnis sowie die vollständige Modulstruktur offengelegt, was Angreifern Primitive zum Verketten weiterer Schwachstellen (LFI, Path Traversal) bietet. Diese Schwachstelle wurde in Version 3.18.1 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

28.04.2026

Veröffentlichung

13.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363737

CPE

bereit

CWE

CWE-209 (bestätigt)

CVSS

7.5 (CNA)

EPSS

0.00015

KEV

nein

Aktivitäten

low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42552
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42552
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42552/

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!