CVE-2026-24765

Nome do Software Vulnerável e Versões Afetadas Versões do PHPUnit anteriores a 12.5.8 Versões do PHPUnit anteriores a 11.5.50 Versões do PHPUnit anteriores a 10.5.62 Versões do PHPUnit anteriores a 9.6.33 Versões do PHPUnit anteriores a 8.5.52

Descrição O PHPUnit, um framework de testes para PHP, contém uma falha relacionada à desserialização insegura de dados de cobertura de código durante a execução de testes PHPT. O problema reside no método cleanupForCoverage(), que desserializa arquivos de cobertura de código sem validação adequada. Isso pode levar à execução remota de código se um arquivo .coverage malicioso estiver presente antes da execução do teste PHPT. A vulnerabilidade é acionada quando um arquivo .coverage, que não deveria existir antes da execução do teste, é desserializado sem restrições. Um atacante com acesso de escrita local em arquivos pode colocar um objeto serializado malicioso contendo um método wakeup() no sistema de arquivos, resultando em execução arbitrária de código durante execuções de teste com cobertura de código habilitada. Esta vulnerabilidade é particularmente relevante em ataques de pipeline de CI/CD, ambientes de desenvolvimento local e cenários envolvendo dependências comprometidas. Os mantenedores abordaram isso tratando arquivos .coverage pré-existentes como uma condição de erro, emitindo uma mensagem de erro clara em vez de sanitizar silenciosamente a entrada. A vulnerabilidade requer acesso de escrita local em arquivos no local onde o PHPUnit armazena ou espera arquivos de cobertura de código para testes PHPT.

Recomendações Atualize para a versão 12.5.8 ou posterior do PHPUnit. Atualize para a versão 11.5.50 ou posterior do PHPUnit. Atualize para a versão 10.5.62 ou posterior do PHPUnit. Atualize para a versão 9.6.33 ou posterior do PHPUnit. Atualize para a versão 8.5.52 ou posterior do PHPUnit.