CVE-2026-42549 in flightphp
요약
\~에 의해 VulDB • 2026. 05. 13.
Flight는 PHP용 확장 가능한 마이크로 프레임워크입니다. 3.18.1 버전 이전에서 make:controller CLI 명령어는 Nette의 클래스 이름 검증이 실행되기 전에, 사용자가 제공한 컨트롤러 이름으로 구성된 경로에 대해 mkdir(..., recursive: true)를 호출합니다. 클래스 파일 쓰기는 이름에 /가 포함되어 있을 경우 Nette에 의해 올바르게 거부되지만, 재귀적 디렉토리 생성이라는 부작용은 이미 발생하며, 이를 통해 ../ 트래버서를 사용하여 프로젝트 루트 외부에 위치한 디렉토리도 생성됩니다. 이 취약점은 3.18.1에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.