CVE-2026-24894

Nome do Software Vulnerável e Versões Afetadas Versões do FrankenPHP anteriores a 1.11.2

Descrição O FrankenPHP, quando executado no modo worker, não redefine corretamente a superglobal $ SESSION entre as requisições. Isso permite que uma requisição subsequente processada pelo mesmo worker acesse os dados $ SESSION da requisição anterior, potencialmente pertencentes a um usuário diferente, antes que session start() seja chamado. O problema surge porque $ SESSION é armazenado na tabela de símbolos do Zend Engine e não é explicitamente removido pela lógica de redefinição do FrankenPHP. Isso resulta em um vazamento de dados entre requisições, potencialmente expondo informações sensíveis como tokens de autenticação, IDs de usuário e PII (Informações Pessoais Identificáveis). A vulnerabilidade afeta aplicações que leem $ SESSION antes de chamar session start(). Uma prova de conceito demonstra que uma requisição do Cliente A definindo dados de sessão pode ser acessada pelo Cliente B sem que uma nova sessão seja iniciada.

Recomendações Versões anteriores a 1.11.2 devem ser atualizadas para a versão 1.11.2 ou posterior. Como solução temporária, assegure-se de que session start() seja chamado imediatamente no ponto de entrada do seu script worker. Alternativamente, faça unset de $ SESSION manualmente no início do loop do worker, antes de processar a requisição.