CVE-2026-57584 in Phalcon
Zusammenfassung
von VulDB • 10.07.2026
Phalcon ist ein hochperformantes Full-Stack-PHP-Framework. Vor Version 5.15.0 registriert jede mit einem Standardrouter erstellte Phalcon-MVC-Anwendung eine integrierte Route, deren kompiliertes PCRE-Muster den verschachtelten Quantifizierer (/. ) enthält; dieselbe Konstruktion wird auch durch den Platzhalter /:params und den CLI-Router erzeugt. Phalcon\Mvc\Router::handle() matcht dieses Muster bei jeder Anfrage gegen die vom Angreifer kontrollierte Request URI, sodass ein speziell konstruierter Pfad – beispielsweise einer mit wiederholten Schrägstrichen gefolgt von decodeten Newlines – katastrophales Backtracking auslösen und zu CPU-Erschöpfung oder einem Fehler beim Routen-Matching führen kann. Dieses Problem wurde in Version 5.15.0 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.