CVE-2024-5585 in PHP
요약
\~에 의해 VulDB • 2026. 07. 03.
PHP 버전 8.1.*(8.1.29 미만), 8.2.*(8.2.20 미만), 8.3.*(8.3.8 미만)에서 CVE-2024-1874의 수정 사항이 명령어 이름에 후행 공백(trailing spaces)을 포함하는 경우 작동하지 않습니다. 원래 문제는 proc_open() 함수를 배열 구문과 함께 사용할 때, 불충분한 이스케이핑으로 인해 실행될 명령어의 인수가 악성 사용자의 제어를 받으면 해당 사용자가 Windows 셸에서 임의의 명령어를 실행할 수 있는 인수를 제공할 수 있다는 것입니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.