PHP opravuje 6 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Ne

Používáte tuto technologii? *

Ano

Ne

Byl pro Vás tento report užitečný?

Ano

Ne

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] PHP opravuje 6 zraniteľností

PHP verziami 8.1.32, 8.2.28, 8.3.19 a 8.4.5 opravuje 6 zraniteľností [7]. Zraniteľnosti opravil Debian [8][9] a Gentoo má dostupnú verziu 8.2.28 pre niektoré architektúry [10]. Jednotlivé vydania Debianu a ich opravené PHP verzie: bullseye (security) - 7.4.33-1+deb11u8 [8] bookworm (security) - 8.2.28-1~deb12u1 [9]

PHP - document validation bypass (CVE-2025-1219)

Neautentizovanému vzdialenému útočníkovi je potenciálne umožnené obísť kontrolu validity dokumentu, zaslaním špeciálne vytvorenej požiadavky s presmerovaním, vytvorenej rozšírením DOM alebo SimpleXML. K zraniteľnosti bolo zverejnené PoC, ktoré je dostupné na [1].

Zraniteľnosť sa nachádza v produkte PHP vo verziách (<8.1.32) OR (>=8.2 AND <8.2.28) OR (>=8.3 AND <8.3.19) OR (>=8.4 AND <8.4.5).

Viac informácií:

CVE-2025-1219 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

PHP - use-after-free (CVE-2024-11235)

Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené využívať časti pamäte po jej uvoľnení, čo môže spôsobiť prepísanie validných dát, DoS útok a potenciálne vykonávanie kódu. K zraniteľnosti bolo zverejnené PoC, ktoré je možné nájsť na [2].

Zraniteľnosť sa nachádza v produkte PHP >=8.3, <8.3.19 vo verziách >=8.4 AND <8.4.5.

Viac informácií:

CVE-2024-11235 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-416: Use After Free at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

PHP - improper newline neutralization (CVE-2025-1736)

Neautentizovanému vzdialenému útočníkovi je zaslaním špeciálne vytvorenej požiadavky potenciálne umožnené spôsobiť nedefinované chovanie na strane servera [3].

Zraniteľnosť sa nachádza v produkte PHP vo verziách (<8.1.32) OR (>=8.2 AND <8.2.28) OR (>=8.3 AND <8.3.19) OR (>=8.4 AND <8.4.5).

Viac informácií:

CVE-2025-1736 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

PHP - web redirection (CVE-2025-1861)

Neautentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva potenciálne umožnené presmerovať obeť útoku na neočakávanú časť web stránky [4].

Zraniteľnosť sa nachádza v produkte PHP vo verziách (<8.1.32) OR (>=8.2 AND <8.2.28) OR (>=8.3 AND <8.3.19) OR (>=8.4 AND <8.4.5).

Viac informácií:

CVE-2025-1861 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-682: Incorrect Calculation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

PHP - response smuggling (CVE-2025-1734)

Neautentizovanému vzdialenému útočníkovi je umožnené potenciálne obísť bezpečnostné politiky zaslaním špeciálne vytvorenej odpovede od web servera ovládaného útočníkom [5].

Zraniteľnosť sa nachádza v produkte PHP vo verziách (<8.1.32) OR (>=8.2 AND <8.2.28) OR (>=8.3 AND <8.3.19) OR (>=8.4 AND <8.4.5).

Viac informácií:

CVE-2025-1734 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

PHP - response smuggling (CVE-2025-1217)

Neautentizovanému vzdialenému útočníkovi je potenciálne umožnené vydávať odpoveď zaslanú web serverom, ktorý ovláda, za iný MIME typ. K zraniteľnosti bolo zverejnené PoC, ktoré je dostupné na [6].

Zraniteľnosť sa nachádza v produkte PHP vo verziách (<8.1.32) OR (>=8.2 AND <8.2.28) OR (>=8.3 AND <8.3.19) OR (>=8.4 AND <8.4.5).

Viac informácií:

CVE-2025-1217 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 3. 2025.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 21. 3. 2025.