PT-2026-41391 · Unknown · Frankenphp
Publicado
2026-05-15
·
Atualizado
2026-06-25
·
CVE-2026-45062
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
FrankenPHP versões 1.11.2 a 1.12.2
Descrição
Uma falha de manipulação insegura de Unicode existe no processo de divisão de caminho CGI. A função
splitPos() em cgi.go utiliza incorretamente a biblioteca golang.org/x/text/search com search.IgnoreCase ao processar caminhos de requisição que contêm bytes não-ASCII. Isso resulta em dois problemas distintos: um erro de fluxo de controle onde uma variável match obsoleta pode fazer com que arquivos que não são PHP sejam tratados como scripts PHP, e um problema de equivalência Unicode onde caracteres semelhantes não-ASCII (como caracteres de largura total ou circulados) são convertidos em caracteres ASCII, enganando o sistema para identificar um arquivo como um script .php.Em ambientes onde um invasor pode fazer upload ou colocar arquivos no servidor, essas falhas podem ser exploradas através da criação de um caminho de URL específico para disparar a evasão, levando potencialmente à execução remota de código (RCE) sem autenticação.
Recomendações
Atualize o FrankenPHP para a versão 1.12.3.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Frankenphp