[TLP:CLEAR] PHP opravuje 3 zraniteľnosti
PHP verziami 8.4.10, 8.3.23, 8.2.29 a 8.1.33 opravuje 3 zraniteľnosti [1][2][3]. Red Hat zatiaľ opravy nevydal a Debian vydal opravu iba pre nestabilné a testovacie vydanie [4][5][6][7][8][9]. Na Gentoo sú opravené verzie okrem 8.1.33 dostupné ako testing [13]. Jednotlivé vydania Ubuntu a ich opravené verzie [10][11][12]: Jammy - 8.1.2-1ubuntu2.22 Noble - 8.3.6-0ubuntu0.24.04.5 Plucky - 8.4.5-1ubuntu1.1
Neautentizovanému vzdialenému útočníkovi je umožnené spôsobiť DoS útok na server a prípadne naň vykonať SQL útok odoslaním špeciálne vytvorenej hodnoty [1].
Zraniteľnosť sa nachádza v produktoch:
- PHP (windows) vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
- PHP vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-1735 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 7. 2025.
Neautentizovanému vzdialenému útočníkovi je potenciálne umožnené vykonať DoS útok zaslaním špeciálne vytvorenej SOAP správy. K zraniteľnosti bol zverejnený PoC skript, ktorý je možné nájsť na [2].
Zraniteľnosť sa nachádza v produktoch:
- PHP (windows) vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
- PHP vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-6491 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 7. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať SSRF útok zadaním špeciálne vytvoreného doménového mena. K zraniteľnosti bol zverejnený PoC skript, ktorý je možné nájsť na [3].
Zraniteľnosť sa nachádza v produktoch:
- PHP (windows) vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
- PHP vo verziách (>=8.1 AND <8.1.33) OR (>=8.2 AND <8.2.29) OR (>=8.3 AND <8.3.23) OR (>=8.4 AND <8.4.10)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-1220 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 7. 2025.
Odkazy
- [1] https://github.com/php/php-src/security/advisories/GHSA-hrwm-9436-5mv3
- [2] https://github.com/php/php-src/security/advisories/GHSA-453j-q27h-5p8x
- [3] https://github.com/php/php-src/security/advisories/GHSA-3cr5-j632-f35r
- [4] https://access.redhat.com/security/cve/CVE-2025-1220
- [5] https://access.redhat.com/security/cve/CVE-2025-6491
- [6] https://access.redhat.com/security/cve/CVE-2025-1735
- [7] https://security-tracker.debian.org/tracker/CVE-2025-1220
- [8] https://security-tracker.debian.org/tracker/CVE-2025-6491
- [9] https://security-tracker.debian.org/tracker/CVE-2025-1735
- [10] https://ubuntu.com/security/CVE-2025-1220
- [11] https://ubuntu.com/security/CVE-2025-6491
- [12] https://ubuntu.com/security/CVE-2025-1735
- [13] https://packages.gentoo.org/packages/dev-lang/php
Za CESNET-CERTS Martin Krajči dňa 28. 7. 2025.
