CVE-2026-42552 in coreinformation

Résumé

par VulDB • 14/05/2026

Flight est un micro-framework extensible pour PHP. Avant la version 3.18.1, le gestionnaire d'erreurs par défaut Engine::_error() écrit le message d'exception complet, le code d'exception et la trace de la pile (y compris les chemins absolus du système de fichiers) directement dans la réponse HTTP 500, sans aucun contrôle d'accès pour le débogage. Les déploiements en production divulguent les chemins internes, tout secret interpolé dans un message d'exception, ainsi que la structure complète des modules, offrant aux attaquants des primitives pour enchaîner d'autres faiblesses (LFI, traversal de chemin). Cette vulnérabilité est corrigée dans la version 3.18.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

28/04/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363737

CPE

prêt

EPSS

0.00015

KEV

non

Activités

faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42552
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42552
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42552/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!