CVE-2026-24739

Nome do Software Vulnerável e Versões Afetadas Versões do Symfony anteriores a 5.4.51 Versões do Symfony anteriores a 6.4.33 Versões do Symfony anteriores a 7.3.11 Versões do Symfony anteriores a 7.4.5 Versões do Symfony anteriores a 8.0.5

Descrição O componente Process do Symfony não tratava corretamente certos caracteres, especificamente =, ao escapar argumentos em sistemas Windows. Ao executar PHP a partir de um ambiente baseado em MSYS2, como o Git Bash, e iniciar executáveis nativos do Windows, a conversão de argumento/caminho do MSYS2 pode tratar incorretamente argumentos não entre aspas contendo esses caracteres. Isso pode levar processos iniciados a receberem argumentos corrompidos ou truncados, desviando-se do comportamento esperado do Symfony. Se uma aplicação utilizar o Symfony Process para invocar comandos de gerenciamento de arquivos (ex.: rmdir, del) com um argumento de caminho contendo =, a camada de conversão do MSYS2 pode alterar o argumento durante a execução. Isso pode resultar em operações sendo realizadas em um caminho não intencionado, potencialmente incluindo a exclusão de arquivos ou diretórios. O problema é particularmente relevante quando entrada não confiável influencia argumentos do processo, como caminhos de repositório, caminhos de arquivos extraídos, diretórios temporários ou configuração controlada pelo usuário.

Recomendações Versões anteriores a 5.4.51 devem ser atualizadas para a versão 5.4.51 ou superior. Versões anteriores a 6.4.33 devem ser atualizadas para a versão 6.4.33 ou superior. Versões anteriores a 7.3.11 devem ser atualizadas para a versão 7.3.11 ou superior. Versões anteriores a 7.4.5 devem ser atualizadas para a versão 7.4.5 ou superior. Versões anteriores a 8.0.5 devem ser atualizadas para a versão 8.0.5 ou superior. Evite executar PHP ou ferramentas relacionadas a partir de shells baseadas em MSYS2 no Windows; prefira usar cmd.exe ou PowerShell para fluxos de trabalho que iniciam executáveis nativos. Evite passar caminhos contendo = para o Symfony Process ao operar sob Git Bash/MSYS2.