PT-2026-41391 · Unknown · Frankenphp

Publicado

2026-05-15

·

Atualizado

2026-06-25

·

CVE-2026-45062

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas FrankenPHP versões 1.11.2 a 1.12.2
Descrição Uma falha de manipulação insegura de Unicode existe no processo de divisão de caminho CGI. A função splitPos() em cgi.go utiliza incorretamente a biblioteca golang.org/x/text/search com search.IgnoreCase ao processar caminhos de requisição que contêm bytes não-ASCII. Isso resulta em dois problemas distintos: um erro de fluxo de controle onde uma variável match obsoleta pode fazer com que arquivos que não são PHP sejam tratados como scripts PHP, e um problema de equivalência Unicode onde caracteres semelhantes não-ASCII (como caracteres de largura total ou circulados) são convertidos em caracteres ASCII, enganando o sistema para identificar um arquivo como um script .php.
Em ambientes onde um invasor pode fazer upload ou colocar arquivos no servidor, essas falhas podem ser exploradas através da criação de um caminho de URL específico para disparar a evasão, levando potencialmente à execução remota de código (RCE) sem autenticação.
Recomendações Atualize o FrankenPHP para a versão 1.12.3.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-45062
GHSA-3G8V-8R37-CGJM
GO-2026-5084

Produtos afetados

Frankenphp