CVE-2026-57584 in Phalcon
Riassunto
di VulDB • 11/07/2026
Phalcon è un framework PHP full-stack ad alte prestazioni. Prima della versione 5.15.0, ogni applicazione Phalcon MVC costruita con un router predefinito registra una rotta integrata il cui pattern PCRE compilato contiene un quantificatore annidato (/.), e lo stesso costrutto viene generato dal segnaposto /:params e dal CLI router. La funzione Phalcon\Mvc\Router::handle() corrisponde a questo pattern rispetto all'URI della richiesta controllata dall'attaccante ad ogni richiesta, quindi un percorso costruito appositamente come uno contenente barre ripetute seguite da newline decodificati può innescare un backtracking catastrofico e causare esaurimento delle risorse CPU o fallimento nella corrispondenza delle rotte. Questo problema è stato risolto nella versione 5.15.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.