CVE-2026-25237
KrytyczneStreszczenie
PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0, użycie preg_replace() z modyfikatorem /e w obsłudze e-maili dotyczących aktualizacji błędów może umożliwić wykonanie kodu PHP, jeśli do ocenianego zamiennika dotrze treść kontrolowana przez atakującego. Problem został naprawiony w wersji 1.33.0.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się aktualizację PEAR do wersji 1.33.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
PEAR is a framework and distribution system for reusable PHP components. Prior to version 1.33.0, use of preg_replace() with the /e modifier in bug update email handling can enable PHP code execution if attacker-controlled content reaches the evaluated replacement. This issue has been patched in version 1.33.0.

