CVE-2026-27590

Nome do Software Vulnerável e Versões Afetadas Versões do Caddy anteriores a 2.11.1 Versões do FrankenPHP anteriores a 1.11.2

Descrição Caddy e FrankenPHP são vulneráveis a um problema de confusão de caminho devido ao tratamento incorreto de caracteres Unicode durante a conversão para minúsculas na lógica de divisão de caminho FastCGI. O software calcula o índice de divisão em uma cópia convertida para minúsculas do caminho da solicitação e, em seguida, usa esse índice de byte para dividir o caminho original. Isso é inseguro para Unicode porque strings.ToLower() pode alterar o comprimento em bytes UTF-8 de alguns caracteres, levando a um SCRIPT NAME/SCRIPT FILENAME e PATH INFO incorretos. Isso pode fazer com que uma solicitação contendo .php execute um arquivo diferente no disco do que o pretendido. Em configurações onde um atacante pode controlar o conteúdo dos arquivos, isso pode levar à execução não intencional de arquivos não-.php como PHP, potencialmente resultando em execução remota de código (RCE). O problema decorre do uso da função splitPos(), que calcula o índice de divisão com base no comprimento em bytes do caminho convertido para minúsculas e, em seguida, aplica esse índice ao caminho original. Isso pode levar a uma discrepância quando caracteres Unicode que se expandem ao serem convertidos para minúsculas estão presentes no caminho.

Recomendações Versões do Caddy anteriores a 2.11.1: atualize para a versão 2.11.1 ou posterior. Versões do FrankenPHP anteriores a 1.11.2: atualize para a versão 1.11.2 ou posterior.