PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.
Релизный цикл, информация об уязвимостях
График релизов
Количество 3 883
CVE-2017-11143
In PHP before 5.6.31, an invalid free in the WDDX deserialization of boolean parameters could be used by attackers able to inject XML for deserialization to crash the PHP interpreter, related to an invalid free for an empty boolean element in ext/wddx/wddx.c.
CVE-2017-7890
The GIF decoding function gdImageCreateFromGifCtx in gd_gif_in.c in the GD Graphics Library (aka libgd), as used in PHP before 5.6.31 and 7.x before 7.1.7, does not zero colorMap arrays before use. A specially crafted GIF image could use the uninitialized tables to read ~700 bytes from the top of the stack, potentially disclosing sensitive information.
BDU:2022-02424
Уязвимость расширения openssl (ext/openssl/openssl.c) интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-02422
Уязвимость функции timelib_meridian() интерпретатора языка программирования PHP, позволяющая нарушителю оказать воздействие на конфиденциальность информации
BDU:2022-02562
Уязвимость функции parse_url интерпретатора языка программирования PHP, позволяющая нарушителю подменить отображаемый URL
BDU:2017-01675
Уязвимость интерпретатора PHP, позволяющая нарушителю вызвать отказ в обслуживании центрального процессора
BDU:2022-02419
Уязвимость функции wddx_deserialize() интерпретатора языка программирования PHP , связанная с использованием памяти после её освобождения, позволяющая нарушителю вызвать отказ в обслуживании
SUSE-SU-2017:1709-1
Security update for php53
CVE-2017-11145
In PHP before 5.6.31, 7.x before 7.0.21, and 7.1.x before 7.1.7, an error in the date extension's timelib_meridian parsing code could be used by attackers able to supply date strings to leak information from the interpreter, related to ext/date/lib/parse_date.c out-of-bounds reads affecting the php_parse_date function. NOTE: the correct fix is in the e8b7698f5ee757ce2c8bd10a192a491a498f891c commit, not the bd77ac90d3bdf31ce2a5251ad92e9e75 gist.
CVE-2018-5712
An issue was discovered in PHP before 5.6.33, 7.0.x before 7.0.27, 7.1.x before 7.1.13, and 7.2.x before 7.2.1. There is Reflected XSS on the PHAR 404 error page via the URI of a request for a .phar file.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2017-11143 In PHP before 5.6.31, an invalid free in the WDDX deserialization of boolean parameters could be used by attackers able to inject XML for deserialization to crash the PHP interpreter, related to an invalid free for an empty boolean element in ext/wddx/wddx.c. | CVSS3: 7.5 | 12% Средний | больше 8 лет назад |
 | CVE-2017-7890 The GIF decoding function gdImageCreateFromGifCtx in gd_gif_in.c in the GD Graphics Library (aka libgd), as used in PHP before 5.6.31 and 7.x before 7.1.7, does not zero colorMap arrays before use. A specially crafted GIF image could use the uninitialized tables to read ~700 bytes from the top of the stack, potentially disclosing sensitive information. | CVSS3: 5.5 | 19% Средний | больше 8 лет назад |
 | BDU:2022-02424 Уязвимость расширения openssl (ext/openssl/openssl.c) интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 31% Средний | больше 8 лет назад |
| BDU:2022-02422 Уязвимость функции timelib_meridian() интерпретатора языка программирования PHP, позволяющая нарушителю оказать воздействие на конфиденциальность информации | CVSS3: 7.5 | 8% Низкий | больше 8 лет назад |
| BDU:2022-02562 Уязвимость функции parse_url интерпретатора языка программирования PHP, позволяющая нарушителю подменить отображаемый URL | CVSS3: 7.5 | 0% Низкий | больше 8 лет назад |
| BDU:2017-01675 Уязвимость интерпретатора PHP, позволяющая нарушителю вызвать отказ в обслуживании центрального процессора | CVSS2: 7.8 | 50% Средний | больше 8 лет назад |
| BDU:2022-02419 Уязвимость функции wddx_deserialize() интерпретатора языка программирования PHP , связанная с использованием памяти после её освобождения, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 12% Средний | больше 8 лет назад |
 | SUSE-SU-2017:1709-1 Security update for php53 | 1% Низкий | больше 8 лет назад | |
| CVE-2017-11145 In PHP before 5.6.31, 7.x before 7.0.21, and 7.1.x before 7.1.7, an error in the date extension's timelib_meridian parsing code could be used by attackers able to supply date strings to leak information from the interpreter, related to ext/date/lib/parse_date.c out-of-bounds reads affecting the php_parse_date function. NOTE: the correct fix is in the e8b7698f5ee757ce2c8bd10a192a491a498f891c commit, not the bd77ac90d3bdf31ce2a5251ad92e9e75 gist. | CVSS3: 5.3 | 8% Низкий | больше 8 лет назад |
| CVE-2018-5712 An issue was discovered in PHP before 5.6.33, 7.0.x before 7.0.27, 7.1.x before 7.1.13, and 7.2.x before 7.2.1. There is Reflected XSS on the PHAR 404 error page via the URI of a request for a .phar file. | CVSS3: 6.1 | 88% Высокий | больше 8 лет назад |
Уязвимостей на страницу