平台
go
组件
github.com/dunglas/frankenphp
修复版本
1.11.3
1.11.2
CVE-2026-24894 描述了 github.com/dunglas/frankenphp 中的一个会话数据泄露漏洞。该漏洞允许攻击者在工作模式下窃取会话数据,可能导致敏感信息泄露。该漏洞影响 FrankenPHP 1.11.2 之前的版本。建议立即升级至 1.11.2 版本以缓解风险。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问 FrankenPHP 应用的会话数据,从而可能获取用户的身份验证凭据、敏感数据或执行未经授权的操作。由于 FrankenPHP 通常用于开发和测试环境,因此该漏洞可能导致生产环境中的数据泄露。攻击者可能通过拦截请求或利用其他攻击向量来获取会话数据,从而完全控制受影响的应用。该漏洞的严重性在于其易于利用和潜在的广泛影响。
目前尚无公开的利用程序(PoC)。该漏洞已于 2026 年 2 月 17 日公开披露。由于该漏洞的严重性和易于利用性,预计可能会出现利用尝试。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。
Developers and security professionals using FrankenPHP for automated testing, particularly those relying on worker mode for parallel execution, are at risk. Teams using FrankenPHP to test applications handling sensitive data, such as authentication systems or financial transactions, should prioritize patching.
disclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 FrankenPHP 1.11.2 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:禁用 FrankenPHP 的工作模式,或者实施严格的会话管理策略,例如使用短会话过期时间、强制使用 HTTPS 以及定期轮换会话密钥。此外,监控 FrankenPHP 应用的日志,以检测任何可疑活动。升级后,请验证会话数据是否不再泄露,例如通过测试应用的不同请求之间的会话数据是否保持一致。
将 FrankenPHP 更新到 1.11.2 或更高版本。此版本修复了允许在 worker 模式下请求间泄露会话数据的漏洞。更新可确保会话数据在请求之间正确重置,从而避免未经授权访问其他用户的信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-24894 是 FrankenPHP 在工作模式下存在会话数据泄露漏洞,攻击者可窃取敏感会话信息,CVSS 评分为 7.5 (高)。
如果您正在使用 FrankenPHP 1.11.2 之前的版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级到 FrankenPHP 1.11.2 或更高版本。如果无法升级,请禁用工作模式或实施严格的会话管理策略。
目前尚无公开的利用程序,但由于漏洞的严重性,预计可能会出现利用尝试。
请访问 FrankenPHP 的 GitHub 仓库或官方网站,查找有关此漏洞的公告。
上传你的 go.mod 文件,立即知道是否受影响。