PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.
Релизный цикл, информация об уязвимостях
График релизов
Количество 3 868
CVE-2025-1735
In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* pgsql and pdo_pgsql escaping functions do not check if the underlying quoting functions returned errors. This could cause crashes if Postgres server rejects the string as invalid.
CVE-2025-6491
In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* before 8.4.10 when parsing XML data in SOAP extensions, overly large (>2Gb) XML namespace prefix may lead to null pointer dereference. This may lead to crashes and affect the availability of the target server.
GHSA-hrwm-9436-5mv3
pgsql extension does not check for errors during escaping
GHSA-453j-q27h-5p8x
NULL Pointer Dereference in PHP SOAP Extension via Large XML Namespace Prefix
GHSA-3cr5-j632-f35r
Null byte termination in hostnames
BDU:2025-10415
Уязвимость функции xmlNodeSetName() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-10414
Уязвимость интерпретатора языка программирования PHP, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-10413
Уязвимость функции PQescapeIdentifier() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-06790
Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю выполнить произвольный код
BDU:2025-06791
Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2025-1735 In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* pgsql and pdo_pgsql escaping functions do not check if the underlying quoting functions returned errors. This could cause crashes if Postgres server rejects the string as invalid. | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| CVE-2025-6491 In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* before 8.4.10 when parsing XML data in SOAP extensions, overly large (>2Gb) XML namespace prefix may lead to null pointer dereference. This may lead to crashes and affect the availability of the target server. | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| GHSA-hrwm-9436-5mv3 pgsql extension does not check for errors during escaping | 0% Низкий | 6 месяцев назад | |
| GHSA-453j-q27h-5p8x NULL Pointer Dereference in PHP SOAP Extension via Large XML Namespace Prefix | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| GHSA-3cr5-j632-f35r Null byte termination in hostnames | 0% Низкий | 6 месяцев назад | |
 | BDU:2025-10415 Уязвимость функции xmlNodeSetName() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| BDU:2025-10414 Уязвимость интерпретатора языка программирования PHP, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| BDU:2025-10413 Уязвимость функции PQescapeIdentifier() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.9 | 0% Низкий | 6 месяцев назад |
| BDU:2025-06790 Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю выполнить произвольный код | CVSS3: 10 | 74% Высокий | 7 месяцев назад |
| BDU:2025-06791 Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код | CVSS3: 9 | 74% Высокий | 7 месяцев назад |
Уязвимостей на страницу