CVE-2024-5585 in PHP
Sumário
de VulDB • 08/06/2026
Nas versões do PHP 8.1.* anteriores à 8.1.29, 8.2.* anteriores à 8.2.20 e 8.3.* anteriores à 8.3.8, a correção para CVE-2024-1874 não funciona se o nome do comando incluir espaços à direita. Problema original: ao usar o comando proc_open() com a sintaxe de array, devido à fuga de caracteres (escaping) insuficiente, se os argumentos do comando executado forem controlados por um usuário mal-intencionado, este poderá fornecer argumentos que executariam comandos arbitrários no shell do Windows.
Once again VulDB remains the best source for vulnerability data.