PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.

Релизный цикл, информация об уязвимостях

Продукт: PHP

Вендор: php

График релизов

Недавние уязвимости PHP

Количество 3 867

CVE-2018-19395

почти 7 лет назад

ext/standard/var.c in PHP 5.x through 7.1.24 on Windows allows attackers to cause a denial of service (NULL pointer dereference and application crash) because com and com_safearray_proxy return NULL in com_properties_get in ext/com_dotnet/com_handlers.c, as demonstrated by a serialize call on COM("WScript.Shell").

CVSS3: 7.5

EPSS: Низкий

CVE-2018-19396

почти 7 лет назад

ext/standard/var_unserializer.c in PHP 5.x through 7.1.24 allows attackers to cause a denial of service (application crash) via an unserialize call for the com, dotnet, or variant class.

CVSS3: 4.7

EPSS: Низкий

BDU:2022-02428

почти 7 лет назад

Уязвимость компонента ext/standard/var_unserializer.c интерпретатора языка программирования PHP , позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 7.5

EPSS: Низкий

BDU:2022-02429

почти 7 лет назад

Уязвимость компонента ext/standard/var.c интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 7.5

EPSS: Низкий

CVE-2018-19518

почти 7 лет назад

University of Washington IMAP Toolkit 2007f on UNIX, as used in imap_open() in PHP and other products, launches an rsh command (by means of the imap_rimap function in c-client/imap4r1.c and the tcp_aopen function in osdep/unix/tcp_unix.c) without preventing argument injection, which might allow remote attackers to execute arbitrary OS commands if the IMAP server name is untrusted input (e.g., entered by a user of a web application) and if rsh has been replaced by a program with different argument semantics. For example, if rsh is a link to ssh (as seen on Debian and Ubuntu systems), then the attack can use an IMAP server name containing a "-oProxyCommand" argument.

CVSS3: 8.1

EPSS: Критический

BDU:2019-01271

около 7 лет назад

Уязвимость компонента IMAP интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды в операционной системе

CVSS3: 7.5

EPSS: Критический

CVE-2018-20783

около 7 лет назад

In PHP before 5.6.39, 7.x before 7.0.33, 7.1.x before 7.1.25, and 7.2.x before 7.2.13, a buffer over-read in PHAR reading functions may allow an attacker to read allocated or unallocated memory past the actual data when trying to parse a .phar file. This is related to phar_parse_pharfile in ext/phar/phar.c.

CVSS3: 5.3

EPSS: Низкий

BDU:2020-03214

около 7 лет назад

Уязвимость функции phar_parse_pharfile (xt/phar/phar.c) интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS3: 7.5

EPSS: Низкий

CVE-2018-19935

около 7 лет назад

ext/imap/php_imap.c in PHP 5.x and 7.x before 7.3.0 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via an empty string in the message argument to the imap_mail function.

CVSS3: 5.9

EPSS: Средний

openSUSE-SU-2018:3062-1

около 7 лет назад

Security update for php7

EPSS: Средний

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2018-19395 ext/standard/var.c in PHP 5.x through 7.1.24 on Windows allows attackers to cause a denial of service (NULL pointer dereference and application crash) because com and com_safearray_proxy return NULL in com_properties_get in ext/com_dotnet/com_handlers.c, as demonstrated by a serialize call on COM("WScript.Shell").	CVSS3: 7.5	1% Низкий	почти 7 лет назад
CVE-2018-19396 ext/standard/var_unserializer.c in PHP 5.x through 7.1.24 allows attackers to cause a denial of service (application crash) via an unserialize call for the com, dotnet, or variant class.	CVSS3: 4.7	2% Низкий	почти 7 лет назад
BDU:2022-02428 Уязвимость компонента ext/standard/var_unserializer.c интерпретатора языка программирования PHP , позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 7.5	2% Низкий	почти 7 лет назад
BDU:2022-02429 Уязвимость компонента ext/standard/var.c интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 7.5	1% Низкий	почти 7 лет назад
CVE-2018-19518 University of Washington IMAP Toolkit 2007f on UNIX, as used in imap_open() in PHP and other products, launches an rsh command (by means of the imap_rimap function in c-client/imap4r1.c and the tcp_aopen function in osdep/unix/tcp_unix.c) without preventing argument injection, which might allow remote attackers to execute arbitrary OS commands if the IMAP server name is untrusted input (e.g., entered by a user of a web application) and if rsh has been replaced by a program with different argument semantics. For example, if rsh is a link to ssh (as seen on Debian and Ubuntu systems), then the attack can use an IMAP server name containing a "-oProxyCommand" argument.	CVSS3: 8.1	94% Критический	почти 7 лет назад
BDU:2019-01271 Уязвимость компонента IMAP интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды в операционной системе	CVSS3: 7.5	94% Критический	около 7 лет назад
CVE-2018-20783 In PHP before 5.6.39, 7.x before 7.0.33, 7.1.x before 7.1.25, and 7.2.x before 7.2.13, a buffer over-read in PHAR reading functions may allow an attacker to read allocated or unallocated memory past the actual data when trying to parse a .phar file. This is related to phar_parse_pharfile in ext/phar/phar.c.	CVSS3: 5.3	7% Низкий	около 7 лет назад
BDU:2020-03214 Уязвимость функции phar_parse_pharfile (xt/phar/phar.c) интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации	CVSS3: 7.5	7% Низкий	около 7 лет назад
CVE-2018-19935 ext/imap/php_imap.c in PHP 5.x and 7.x before 7.3.0 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via an empty string in the message argument to the imap_mail function.	CVSS3: 5.9	16% Средний	около 7 лет назад
openSUSE-SU-2018:3062-1 Security update for php7		18% Средний	около 7 лет назад

Уязвимостей на страницу