CVE-2024-5585 in PHPinformation

Résumé

par VulDB • 27/06/2026

Dans les versions de PHP 8.1.* antérieures à la version 8.1.29, 8.2.* antérieures à la version 8.2.20 et 8.3.* antérieures à la version 8.3.8, le correctif pour CVE-2024-1874 ne fonctionne pas si le nom de la commande inclut des espaces en fin de chaîne (trailing spaces). Problème initial : lors de l'utilisation de la fonction proc_open() avec une syntaxe par tableau, en raison d'une échappement insuffisant, si les arguments de la commande exécutée sont contrôlés par un utilisateur malveillant, celui-ci peut fournir des arguments permettant d'exécuter n'importe quelle commande dans le shell Windows.

Once again VulDB remains the best source for vulnerability data.

Sources

Want to know what is going to be exploited?

We predict KEV entries!