Plateforme
go
Composant
github.com/dunglas/frankenphp
Corrigé dans
1.11.3
1.11.2
La vulnérabilité CVE-2026-24894 affecte FrankenPHP, une bibliothèque Go développée par dunglas. Elle se manifeste par une fuite de données de session entre les requêtes en mode worker. Cette fuite peut permettre à un attaquant d'accéder à des informations sensibles stockées dans les sessions des utilisateurs. La vulnérabilité est corrigée dans la version 1.11.2.
Cette fuite de données de session en mode worker représente un risque significatif pour la confidentialité des utilisateurs. Un attaquant compromettant le processus worker peut potentiellement intercepter et exploiter les données de session d'autres utilisateurs, même s'ils ne sont pas directement ciblés. Les informations sensibles telles que les identifiants de connexion, les informations personnelles et les données de transaction pourraient être compromises. L'impact est amplifié si FrankenPHP est utilisé dans un environnement multi-tenant, car la fuite pourrait affecter plusieurs clients simultanément. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la fuite de données de session la rend potentiellement exploitable par des acteurs malveillants.
La vulnérabilité a été divulguée publiquement le 17 février 2026. Son score CVSS est de 7.5 (HIGH). Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV de CISA. L'absence de preuve d'exploitation publique ne diminue pas le risque, car la vulnérabilité est relativement simple à comprendre et à exploiter.
Developers and security professionals using FrankenPHP for automated testing, particularly those relying on worker mode for parallel execution, are at risk. Teams using FrankenPHP to test applications handling sensitive data, such as authentication systems or financial transactions, should prioritize patching.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La mitigation principale consiste à mettre à jour FrankenPHP vers la version 1.11.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le mode worker si cela est acceptable pour votre application. En attendant la mise à jour, il est recommandé de renforcer la sécurité des sessions en utilisant des cookies sécurisés (HTTPS uniquement) et en limitant la durée de vie des sessions. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte liée à l'accès aux données de session. Après la mise à jour, vérifiez que les données de session ne sont plus divulguées en effectuant des tests de pénétration.
Mettez à jour FrankenPHP à la version 1.11.2 ou supérieure. Cette version corrige la vulnérabilité permettant la fuite de données de session entre les requêtes en mode worker. La mise à jour assure que les données de session sont correctement réinitialisées entre les requêtes, évitant ainsi l'accès non autorisé aux informations d'autres utilisateurs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24894 is a HIGH severity vulnerability in FrankenPHP where session data is leaked between requests in worker mode, potentially exposing sensitive information.
Yes, if you are using FrankenPHP versions 1.11.1 or earlier and utilizing worker mode, you are vulnerable to this session data leak.
Upgrade FrankenPHP to version 1.11.2 or later to resolve the vulnerability. If immediate upgrade is not possible, consider disabling worker mode.
Currently, there are no known public exploits or confirmed active exploitation campaigns targeting CVE-2026-24894.
Refer to the official FrankenPHP repository and release notes for details on the vulnerability and the fix: https://github.com/dunglas/frankenphp
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.