Skip to main content

NVD-CVE-2024-5585

junio 10, 2024




CVE-2024-5585Detalle






Descripción

En las versiones de PHP 8.1.* anteriores a 8.1.29, 8.2.* anteriores a 8.2.20, 8.3.* anteriores a 8.3.8, la solución para CVE-2024-1874 no funciona si el nombre del comando incluye espacios finales. Problema original: cuando se utiliza el comando proc_open() con sintaxis de matriz, debido a un escape insuficiente, si los argumentos del comando ejecutado están controlados por un usuario malintencionado, el usuario puede proporcionar argumentos que ejecutarían comandos arbitrarios en el shell de Windows.

Gravedad



Severidad y métricas de CVSS 4.0:

Referencias a avisos, soluciones y herramientas

Al seleccionar estos enlaces, abandonará el espacio web del NIST. Hemos proporcionado estos enlaces a otros sitios web porque pueden tener información que podría ser de su interés. No se deben sacar inferencias sobre si se hace referencia o no a otros sitios desde esta página. Es posible que existan otros sitios web que sean más apropiados para su propósito. El NIST no respalda necesariamente las opiniones expresadas ni está de acuerdo con los hechos presentados en estos sitios. Además, el NIST no respalda ningún producto comercial que pueda mencionarse en estos sitios. Por favor dirija sus comentarios sobre esta página a nvd@nist.gov.

Enumeración de debilidades













CWE-ID Nombre CWE Fuente

CWE-116
Codificación inadecuada o escape de la salida








Grupo PHP



CWE-78
Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo («inyección de comando del sistema operativo»)








Grupo PHP

cambia la historia

1 registros de cambios encontrados mostrar cambios

Información rápida

Entrada del diccionario CVE:
CVE-2024-5585
Fecha de publicación de NVD:
09/06/2024
NVD Última modificación:
09/06/2024
Fuente:
Grupo PHP




Source link

Translate »