Идентификатор: BDU:2021-04398.
Наименование уязвимости: Уязвимость компонента Util/PHP/eval-stdin.php фреймворка PHPUnit, позволяющая нарушителю выполнить произвольный PHP-код.
Описание уязвимости: Уязвимость компонента Util/PHP/eval-stdin.php фреймворка PHPUnit связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный PHP-код с помощью специально сформированного HTTP POST-запроса
Уязвимое ПО: Сетевое средство, Сетевое программное средство PHPUnit до 4.8.27 включительно | Сетевое средство, Сетевое программное средство PHPUnit от 5.0.0 до 5.6.3 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 27.06.2017.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Обновление программного средства PHPUnit до актуальной версии.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-9841.
Тип ошибки CWE: CWE-94
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/sebastianbergmann/phpunit/commit/284a69fb88a2d0845d23f42974a583d8f59bf5a5
https://github.com/sebastianbergmann/phpunit/pull/1956
http://web.archive.org/web/20170701212357/http://phpunit.vulnbusters.com/