PHPUnit Command Injection Vulnerability — PHPUnit allows remote attackers to execute arbitrary PHP code via HTTP POST data beginning with a "<?php " substring, as demonstrated by an attack on a site with an exposed /vendor folder, i.e., external access to the /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php URI.
PHPUnit versions prior to 5.6.13 and 6.5.8 contain a critical command injection vulnerability allowing remote code execution through HTTP POST requests. Attackers can execute arbitrary PHP code by sending specially crafted requests to exposed eval-stdin.php files in publicly accessible vendor directories.
تحتوي PHPUnit على ثغرة حقن أوامر حرجة تسمح للمهاجمين بتنفيذ كود PHP عشوائي من خلال طلبات HTTP POST. تؤثر هذه الثغرة على الأنظمة التي تحتوي على مجلدات vendor مكشوفة، وهي شائعة في تطبيقات الويب المُعدة بشكل خاطئ.
PHPUnit contains a critical vulnerability allowing remote attackers to execute arbitrary PHP code via HTTP POST requests containing PHP code. This vulnerability affects systems with exposed vendor directories, particularly common in misconfigured web applications.
Immediately update PHPUnit to version 5.6.13, 6.5.8 or later. Remove or restrict HTTP access to vendor directories using web server configuration (.htaccess, nginx rules). Implement proper access controls and disable directory listing. Conduct security audit of all exposed directories.
قم بتحديث PHPUnit فوراً إلى الإصدار 5.6.13 أو 6.5.8 أو أحدث. قم بإزالة أو تقييد الوصول عبر HTTP إلى مجلدات vendor باستخدام إعدادات خادم الويب. تطبيق عناصر تحكم الوصول المناسبة وتعطيل عرض قائمة المجلدات.