CVE-2026-42551 in core
요약
\~에 의해 VulDB • 2026. 05. 13.
Flight는 PHP용 확장 가능한 마이크로 프레임워크입니다. 3.18.1 이전 버전에서는 Request::getMethod()가 모든 HTTP 메서드(GET와 같은 안전한 메서드를 포함)에 대해 X-HTTP-Method-Override 헤더와 $_REQUEST['_method'] 매개변수를 조건 없이 적용하며, 활성화 옵션(opt-in)이나 허용된 대상 메서드의 화이트리스트가 없습니다. GET 요청이 DELETE나 PUT으로 조용히 변경될 수 있어, 파괴적인 엔드포인트에 대한 CSRF 에스컬레이션, 안전하지 않은 메서드에 기반한 미들웨어 우회, CDN과 원본 서버 간 캐시 파우저닝이 가능해집니다. 이 취약점은 3.18.1에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.