PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.
Релизный цикл, информация об уязвимостях
График релизов
Количество 3 883
GHSA-h746-cjrr-wfmr
password_verify can erroneously return true, opening ATO risk
GHSA-pc52-254m-w9w7
Command injection via array-ish $command parameter of proc_open even if bypass_shell option enabled on Windows
GHSA-wpj3-hf5j-x4v4
__Host-/__Secure- cookie bypass due to partial CVE-2022-31629 fix
BDU:2024-03215
Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению
BDU:2025-11445
Уязвимость функции proc_open() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольные команды
BDU:2024-03214
Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
GHSA-9xch-xvj3-fmf3
A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.
CVE-2024-3566
A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.
CVE-2024-3566
A command inject vulnerability allows an attacker to perform command i ...
CVE-2024-1874
In PHP versions 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, when using proc_open() command with array syntax, due to insufficient escaping, if the arguments of the executed command are controlled by a malicious user, the user can supply arguments that would execute arbitrary commands in Windows shell.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
| GHSA-h746-cjrr-wfmr password_verify can erroneously return true, opening ATO risk | 1% Низкий | почти 2 года назад | |
| GHSA-pc52-254m-w9w7 Command injection via array-ish $command parameter of proc_open even if bypass_shell option enabled on Windows | CVSS3: 9.4 | 58% Средний | почти 2 года назад |
| GHSA-wpj3-hf5j-x4v4 __Host-/__Secure- cookie bypass due to partial CVE-2022-31629 fix | 10% Низкий | почти 2 года назад | |
 | BDU:2024-03215 Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению | CVSS3: 9.1 | 1% Низкий | почти 2 года назад |
| BDU:2025-11445 Уязвимость функции proc_open() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольные команды | CVSS3: 9.4 | 58% Средний | почти 2 года назад |
| BDU:2024-03214 Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 1% Низкий | почти 2 года назад |
| GHSA-9xch-xvj3-fmf3 A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied. | CVSS3: 9.8 | 5% Низкий | почти 2 года назад |
 | CVE-2024-3566 A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied. | CVSS3: 9.8 | 5% Низкий | почти 2 года назад |
| CVE-2024-3566 A command inject vulnerability allows an attacker to perform command i ... | CVSS3: 9.8 | 5% Низкий | почти 2 года назад |
 | CVE-2024-1874 In PHP versions 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, when using proc_open() command with array syntax, due to insufficient escaping, if the arguments of the executed command are controlled by a malicious user, the user can supply arguments that would execute arbitrary commands in Windows shell. | 58% Средний | почти 2 года назад |
Уязвимостей на страницу