CVE-2024-5585 in PHP
要約
〜によって VulDB • 2026年07月03日
PHPのバージョン8.1.*(8.1.29より前)、8.2.*(8.2.20より前)、および8.3.*(8.3.8より前)において、CVE-2024-1874への修正は、コマンド名に末尾の空白が含まれている場合に機能しません。元の問題は次の通りです:proc_open()関数で配列構文を使用する場合、エスケープ処理が不十分であるため、実行されるコマンドの引数が悪意のあるユーザーによって制御されていると、そのユーザーはWindowsシェル上で任意のコマンドを実行する可能性がある引数を指定できます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.