PHPUnit爆高風險漏洞CVE-2026-24765，CI/CD測試流程恐成RCE攻擊入口

漏洞概述

開源PHP單元測試框架PHPUnit存在高風險資安漏洞CVE-2026-24765，CVSS風險分數為7.8分，屬於高風險等級（High）。在特定條件下，若於啟用測試覆蓋率的PHPT測試執行情境中，攻擊者能事先寫入惡意測試覆蓋率資料，便可觸發不安全反序列化，進而執行任意程式碼。

攻擊條件與影響範圍

• 攻擊者需取得對PHPUnit儲存或預期讀取測試覆蓋資料之位置的本地文件寫入權限。
• 此漏洞可被利用於CI/CD流程中，特別是在測試環境中執行PHPT測試時。
• 若開發團隊未正確處理測試覆蓋資料，則可能導致整個CI/CD流水線被攻陷。

修補建議

PHPUnit團隊已發布修補版本，建議使用者立即升級至版本12.5.8、11.5.50、10.5.62或更高版本，以避免受此漏洞影響。

相關來源與分析

• CVE-2026-24765 – Vulnerability Intelligence
• Red Hat CVE-2026-24765
• SentinelOne – CVE-2026-24765
• SecurityOnline – PHPUnit Vulnerability Exposes CI/CD Pipelines to RCE
• Positive Technologies – CVE-2026-24765
• The CI/CD Trojan Horse: Inside PHPUnit’s Unsafe Deserialization

來源：https://www.ithome.com.tw/news/173717