Php · Php · CVE-2024-5585
Nome do software vulnerável e versões afetadas:
Versões do PHP 8.1.* anteriores à 8.1.29
Versões do PHP 8.2.* anteriores à 8.2.20
Versões do PHP 8.3.* anteriores à 8.3.8
Descrição:
O problema decorre de uma escapagem insuficiente ao usar a função `proc open()` com sintaxe de matriz, permitindo que um usuário mal-intencionado forneça argumentos que executam comandos arbitrários no shell do Windows. Isso se deve à falta de medidas para neutralizar elementos especiais usados no comando. O número estimado de dispositivos potencialmente afetados em todo o mundo é de cerca de 25.304.775, distribuídos principalmente nos Estados Unidos, na China e em outros países.
Recomendações:
Para versões do PHP 8.1.* anteriores à 8.1.29, atualize para a versão 8.1.29 ou posterior para resolver o problema.
Para versões do PHP 8.2.* anteriores à 8.2.20, atualize para a versão 8.2.20 ou posterior para resolver o problema.
Para versões do PHP 8.3.* anteriores à 8.3.8, atualize para a versão 8.3.8 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso da função `proc open()` até que um patch esteja disponível. Evite usar a função `proc open()` com entradas não confiáveis para minimizar o risco de exploração.