CVE-2026-37552

Nome do Software Vulnerável e Versões Afetadas MixPHP Framework versões 2.x até 2.2.17

Descrição Um problema de desserialização insegura existe no servidor TCP sync-invoke. O servidor recebe dados de um socket TCP e os passa diretamente para a função unserialize() dentro do namespace OpisClosure, executando subsequentemente o resultado via call user func(). Como a conexão TCP carece de autenticação ou verificação de assinatura, um invasor com acesso à porta TCP do localhost (onde o servidor vincula ao 127.0.0.1) pode enviar um closure PHP serializado e manipulado para alcançar a execução de código arbitrário.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.