PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.

Релизный цикл, информация об уязвимостях

Продукт: PHP

Вендор: php

График релизов

Недавние уязвимости PHP

Количество 3 843

CVE-2022-31630

почти 3 года назад

In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imagelo ...

CVSS3: 6.5

EPSS: Низкий

CVE-2022-31630

почти 3 года назад

In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.

CVSS3: 6.5

EPSS: Низкий

BDU:2022-07409

почти 3 года назад

Уязвимость функции imageloadfont() интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

CVSS3: 7.1

EPSS: Низкий

BDU:2024-07320

почти 3 года назад

Уязвимость функции PDO::quote компонента ext/pdo_sqlite/sqlite_driver.c языка программирования PHP, связанная с целочисленным переполнением, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

CVSS3: 6.9

EPSS: Низкий

CVE-2022-31630

почти 3 года назад

CVSS3: 6.5

EPSS: Низкий

CVE-2022-37454

почти 3 года назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.

CVSS3: 9.8

EPSS: Низкий

CVE-2022-37454

почти 3 года назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an i ...

CVSS3: 9.8

EPSS: Низкий

CVE-2022-37454

почти 3 года назад

CVSS3: 9.8

EPSS: Низкий

CVE-2024-5458

почти 3 года назад

In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.

CVSS3: 5.3

EPSS: Низкий

BDU:2022-06445

почти 3 года назад

Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код

CVSS3: 9.8

EPSS: Низкий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2022-31630 In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imagelo ...	CVSS3: 6.5	0% Низкий	почти 3 года назад
CVE-2022-31630 In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.	CVSS3: 6.5	0% Низкий	почти 3 года назад
BDU:2022-07409 Уязвимость функции imageloadfont() интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании	CVSS3: 7.1	0% Низкий	почти 3 года назад
BDU:2024-07320 Уязвимость функции PDO::quote компонента ext/pdo_sqlite/sqlite_driver.c языка программирования PHP, связанная с целочисленным переполнением, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании	CVSS3: 6.9	0% Низкий	почти 3 года назад
CVE-2022-31630 In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.	CVSS3: 6.5	0% Низкий	почти 3 года назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.	CVSS3: 9.8	2% Низкий	почти 3 года назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an i ...	CVSS3: 9.8	2% Низкий	почти 3 года назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.	CVSS3: 9.8	2% Низкий	почти 3 года назад
CVE-2024-5458 In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.	CVSS3: 5.3	2% Низкий	почти 3 года назад
BDU:2022-06445 Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код	CVSS3: 9.8	2% Низкий	почти 3 года назад

Уязвимостей на страницу