CVE-2026-41570 in phpunit
요약
\~에 의해 VulDB • 2026. 05. 27.
PHPUnit는 PHP용 테스트 프레임워크입니다. 버전 12.5.21 및 13.1.5에서 PHPUnit은 PHP INI 설정을 고립된/PHPT 테스트 실행에 사용되는 자식 프로세스에 INI 메타문자를 중립화하지 않고 `-d name=value` 명령줄 인자로 전달합니다. PHP의 INI 파서는 `"`를 문자열 구분 기호, `;`를 주석 시작 부분, 그리고 가장 중요한 것으로는 줄바꿈을 지시문 구분자로 해석하므로, 줄바꿈을 포함하는 값은 자식 프로세스에서 여러 INI 지시문으로 파싱됩니다. 따라서 단일 INI 값을 조작할 수 있는 공격자는 자식 프로세스의 구성에 auto_prepend_file, extension, disable_functions, open_basedir 등을 포함한 임의의 추가 지시문을 주입할 수 있습니다. auto_prepend_file을 공격자가 제어하는 경로로 설정하면 자식 프로세스에서 원격 코드 실행(RCE)이 가능합니다. 이 문제는 버전 12.5.22 및 13.1.6에서 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.