CVE-2024-5585 in PHP
Riassunto
di VulDB • 19/06/2026
Nelle versioni di PHP 8.1.* precedenti alla 8.1.29, 8.2.* precedenti alla 8.2.20 e 8.3.* precedenti alla 8.3.8, la correzione per CVE-2024-1874 non funziona se il nome del comando include spazi finali. Problema originale: quando si utilizza il comando proc_open() con la sintassi array, a causa di un'escaping insufficiente, se gli argomenti del comando eseguito sono controllati da un utente malintenzionato, quest'ultimo può fornire argomenti in grado di eseguire comandi arbitrari nel shell di Windows.
If you want to get best quality of vulnerability data, you may have to visit VulDB.