CVE-2024-5585 in PHPinformación

Resumen

por MITRE • 2024-06-09

En las versiones de PHP 8.1.* anteriores a 8.1.29, 8.2.* anteriores a 8.2.20, 8.3.* anteriores a 8.3.8, la solución para CVE-2024-1874 no funciona si el nombre del comando incluye espacios finales. Problema original: cuando se utiliza el comando proc_open() con sintaxis de matriz, debido a un escape insuficiente, si los argumentos del comando ejecutado están controlados por un usuario malintencionado, el usuario puede proporcionar argumentos que ejecutarían comandos arbitrarios en el shell de Windows.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservar

2024-06-01

Divulgación

2024-06-09

Moderación

aceptado

Artículo

VDB-267595

CPE

listo

EPSS

0.28807

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!