CVE-2026-41570 in phpunitИнформация

Сводка

по VulDB • 12.05.2026

PHPUnit — это фреймворк для тестирования PHP. В версиях 12.5.21 и 13.1.5 PHPUnit передает настройки PHP INI дочерним процессам (используемым для изолированного выполнения тестов PHPT) в виде аргументов командной строки -d name=value без нейтрализации метасимволов INI. Поскольку парсер INI PHP интерпретирует символ " как разделитель строки, ; как начало комментария и, что наиболее важно, символ новой строки как разделитель директив, значение, содержащее новую строку, парсится дочерним процессом как несколько директив INI. Злоумышленник, способный повлиять на одно значение INI, может поэтому внедрить произвольные дополнительные директивы в конфигурацию дочернего процесса, включая auto_prepend_file, extension, disable_functions, open_basedir и другие. Установка auto_prepend_file в путь, контролируемый злоумышленником, приводит к удаленному выполнению кода (RCE) в дочернем процессе. Эта проблема исправлена в версиях 12.5.22 и 13.1.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

21.04.2026

Раскрытие

08.05.2026

Модерация

принято

Вход

VDB-362176

CPE

готов

CWE

CWE-93 (Подтверждённый)

CVSS

7.8 (CNA)

EPSS

0.00075

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41570
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41570
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41570/

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!