发布日期：2026-01-27
更新日期：2026-02-11

受影响系统：

PHPUnit PHPUnit < 9.6.33
PHPUnit PHPUnit < 8.5.52
PHPUnit PHPUnit < 12.5.8
PHPUnit PHPUnit < 11.5.50
PHPUnit PHPUnit < 10.5.62

描述：

---

CVE(CAN) ID: CVE-2026-24765

PHPUnit是Sebastian Bergmann个人开发者的一个PHP单元测试框架。
PHPUnit多个版本存在不受信数据反序列化漏洞，该漏洞源于该框架的“cleanupForCoverage()”方法在反序列化代码覆盖率文件时未进行验证，也未应用“allowed_classes”参数限制，攻击者可利用该漏洞执行任意代码。

<**>

建议：

---

厂商补丁：

PHPUnit
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://phpunit.de/

浏览次数：84
严重程度：0（网友投票）