CVE-2024-24754

Versões do Bref anteriores à 2.1.13

A vulnerabilidade ocorre quando o Bref é utilizado com o ambiente de execução de funções orientadas a eventos (Event-Driven Function) e o manipulador é um RequestHandlerInterface. Nesse cenário, o evento Lambda é convertido em um objeto PSR7. Durante o processo de conversão, se a solicitação for um MultiPart, cada parte é analisada e seu conteúdo adicionado às matrizes $files ou $parsedBody. O processo de conversão produz uma saída diferente daquela do PHP simples quando são usadas chaves que terminam com um colchete aberto ([). Essa diferença na análise do corpo pode levar a vulnerabilidades e/ou comportamentos indefinidos, dependendo da lógica da aplicação.

Para versões anteriores à 2.1.13, atualize para a versão 2.1.13 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere usar a função PHP parse str para analisar os parâmetros do corpo e imitar o comportamento do PHP padrão. Restrinja o acesso ao RequestHandlerInterface vulnerável para minimizar o risco de exploração até que o problema seja resolvido.