PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.
Релизный цикл, информация об уязвимостях
График релизов
Количество 3 843
CVE-2024-3096
In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.
GHSA-fjp9-9hwx-59fq
mb_encode_mimeheader runs endlessly for some inputs
GHSA-h746-cjrr-wfmr
password_verify can erroneously return true, opening ATO risk
GHSA-pc52-254m-w9w7
Command injection via array-ish $command parameter of proc_open even if bypass_shell option enabled on Windows
GHSA-wpj3-hf5j-x4v4
__Host-/__Secure- cookie bypass due to partial CVE-2022-31629 fix
BDU:2024-03215
Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению
BDU:2024-03214
Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
GHSA-9xch-xvj3-fmf3
A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.
CVE-2024-3566
A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.
CVE-2024-3566
A command inject vulnerability allows an attacker to perform command i ...
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2024-3096 In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true. | CVSS3: 4.8 | 0% Низкий | больше 1 года назад |
| GHSA-fjp9-9hwx-59fq mb_encode_mimeheader runs endlessly for some inputs | CVSS3: 7.5 | 0% Низкий | больше 1 года назад |
| GHSA-h746-cjrr-wfmr password_verify can erroneously return true, opening ATO risk | 0% Низкий | больше 1 года назад | |
| GHSA-pc52-254m-w9w7 Command injection via array-ish $command parameter of proc_open even if bypass_shell option enabled on Windows | CVSS3: 9.4 | 55% Средний | больше 1 года назад |
| GHSA-wpj3-hf5j-x4v4 __Host-/__Secure- cookie bypass due to partial CVE-2022-31629 fix | 5% Низкий | больше 1 года назад | |
 | BDU:2024-03215 Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению | CVSS3: 9.1 | 0% Низкий | больше 1 года назад |
| BDU:2024-03214 Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 0% Низкий | больше 1 года назад |
| GHSA-9xch-xvj3-fmf3 A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied. | CVSS3: 9.8 | 3% Низкий | больше 1 года назад |
 | CVE-2024-3566 A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied. | CVSS3: 9.8 | 3% Низкий | больше 1 года назад |
| CVE-2024-3566 A command inject vulnerability allows an attacker to perform command i ... | CVSS3: 9.8 | 3% Низкий | больше 1 года назад |
Уязвимостей на страницу