CVE-2026-57584 in Phalcon정보

요약

\~에 의해 VulDB • 2026. 07. 11.

Phalcon은 고성능 풀스택 PHP 프레임워크입니다. 버전 5.15.0 이전의 모든 Phalcon MVC 애플리케이션에서 기본 라우터를 사용하여 빌드된 경우, 중첩 양자화자(nested quantifier) `(/.)`를 포함하는 컴파일된 PCRE 패턴을 가진 내장 경로가 등록됩니다. 또한 `/params` 플레이스홀더와 CLI 라우터에서도 동일한 구조가 생성됩니다. Phalcon\Mvc\Router::handle()는 모든 요청마다 공격자가 제어할 수 있는 요청 URI에 대해 이 패턴을 매칭하므로, 반복되는 슬래시 뒤에 디코딩된 개행 문자가 포함된 것과 같은 조작된 경로를 사용하면 치명적인 백트래킹(catastrophic backtracking)이 발생하여 CPU 고갈 또는 경로 매칭 실패를 초래할 수 있습니다. 이 문제는 버전 5.15.0에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 24.

모더레이션

수락

항목

VDB-377654

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!