CVE-2026-54133

Nome do Software Vulnerável e Versões Afetadas jmespath.php versões anteriores a 2.9.1

Description A escape insuficiente de nomes de funções JMESPath analisados no código-fonte PHP gerado permite a geração e execução de código PHP controlado por um invasor. Isso ocorre quando o JmesPathCompilerRuntime é utilizado com uma expressão JMESPath manipulada, fazendo com que o arquivo de cache gerado contenha código executável que é posteriormente carregado pelo runtime do compilador.

Recommendations Atualize para a versão 2.9.1 ou posterior. Desative JP PHP COMPILE como uma solução temporária. Evite usar JmesPathCompilerRuntime com expressões controladas por invasores e utilize o AstRuntime padrão para expressões não confiáveis.