CVE-2025-14177

Опубликовано: 27 дек. 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

In PHP versions:8.1.* before 8.1.34, 8.2.* before 8.2.30, 8.3.* before 8.3.29, 8.4.* before 8.4.16, 8.5.* before 8.5.1, the getimagesize() function may leak uninitialized heap memory into the APPn segments (e.g., APP1) when reading images in multi-chunk mode (such as via php://filter). This occurs due to a bug in php_read_stream_all_chunks() that overwrites the buffer without advancing the pointer, leaving tail bytes uninitialized. This may lead to information disclosure of sensitive heap data and affect the confidentiality of the target server.

Ссылки

https://github.com/php/php-src/security/advisories/GHSA-3237-qqm7-mfv7
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:php:php:*:*:*:*:*:*:*:*

Версия от 8.1.0 (включая) до 8.1.34 (исключая)

cpe:2.3:a:php:php:*:*:*:*:*:*:*:*

Версия от 8.2.0 (включая) до 8.2.30 (исключая)

cpe:2.3:a:php:php:*:*:*:*:*:*:*:*

Версия от 8.3.0 (включая) до 8.3.29 (исключая)

cpe:2.3:a:php:php:*:*:*:*:*:*:*:*

Версия от 8.4.0 (включая) до 8.4.16 (исключая)

cpe:2.3:a:php:php:8.5.0:*:*:*:*:*:*:*

EPSS

Процентиль: 12%

0.00042

Низкий

7.5 High

CVSS3

Дефекты

CWE-125

Связанные уязвимости

CVE-2025-14177

CVSS3: 7.5

ubuntu

около 1 месяца назад

CVE-2025-14177

CVSS3: 3.7

msrc

около 1 месяца назад

Information Leak of Memory in getimagesize

CVE-2025-14177

CVSS3: 7.5

debian

около 1 месяца назад

In PHP versions:8.1.* before 8.1.34, 8.2.* before 8.2.30, 8.3.* before ...

GHSA-3237-qqm7-mfv7

github

около 2 месяцев назад

Information Leak of Memory in getimagesize

openSUSE-SU-2026:20113-1

suse-cvrf

9 дней назад

Security update for php8

EPSS

Процентиль: 12%

0.00042

Низкий

7.5 High

CVSS3

Дефекты

CWE-125