PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.

Релизный цикл, информация об уязвимостях

Продукт: PHP

Вендор: php

График релизов

Недавние уязвимости PHP

Количество 3 883

BDU:2022-02530

больше 10 лет назад

Уязвимость функции phar_parse_tarfile интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 4

EPSS: Средний

BDU:2022-02528

больше 10 лет назад

Уязвимость функции phar_set_inode (phar_internal.h) интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код

CVSS3: 6.5

EPSS: Средний

BDU:2022-02535

больше 10 лет назад

Уязвимость метода soapclient::__call интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код

CVSS3: 6.5

EPSS: Средний

BDU:2022-02521

больше 10 лет назад

Уязвимость функция phar_parse_metadata (ext/phar/phar.c) интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании или, возможно, оказать другое воздействие

CVSS3: 6.5

EPSS: Средний

BDU:2022-02531

больше 10 лет назад

Уязвимость функции ftp_genlist интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код

CVSS3: 6.5

EPSS: Средний

CVE-2015-8874

больше 10 лет назад

Stack consumption vulnerability in GD in PHP before 5.6.12 allows remote attackers to cause a denial of service via a crafted imagefilltoborder call.

CVSS2: 4.3

EPSS: Низкий

CVE-2015-4598

больше 10 лет назад

PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 does not ensure that pathnames lack %00 sequences, which might allow remote attackers to read or write to arbitrary files via crafted input to an application that calls (1) a DOMDocument save method or (2) the GD imagepsloadfont function, as demonstrated by a filename\0.html attack that bypasses an intended configuration in which client users may write to only .html files.

CVSS2: 4

EPSS: Низкий

CVE-2015-8838

больше 10 лет назад

ext/mysqlnd/mysqlnd.c in PHP before 5.4.43, 5.5.x before 5.5.27, and 5.6.x before 5.6.11 uses a client SSL option to mean that SSL is optional, which allows man-in-the-middle attackers to spoof servers via a cleartext-downgrade attack, a related issue to CVE-2015-3152.

CVSS2: 4.3

EPSS: Низкий

CVE-2015-3307

больше 10 лет назад

The phar_parse_metadata function in ext/phar/phar.c in PHP before 5.4.40, 5.5.x before 5.5.24, and 5.6.x before 5.6.8 allows remote attackers to cause a denial of service (heap metadata corruption) or possibly have unspecified other impact via a crafted tar archive.

CVSS2: 5.1

EPSS: Средний

CVE-2015-4021

больше 10 лет назад

The phar_parse_tarfile function in ext/phar/tar.c in PHP before 5.4.41, 5.5.x before 5.5.25, and 5.6.x before 5.6.9 does not verify that the first character of a filename is different from the \0 character, which allows remote attackers to cause a denial of service (integer underflow and memory corruption) via a crafted entry in a tar archive.

CVSS2: 5.1

EPSS: Средний

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
BDU:2022-02530 Уязвимость функции phar_parse_tarfile интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 4	42% Средний	больше 10 лет назад
BDU:2022-02528 Уязвимость функции phar_set_inode (phar_internal.h) интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код	CVSS3: 6.5	28% Средний	больше 10 лет назад
BDU:2022-02535 Уязвимость метода soapclient::__call интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код	CVSS3: 6.5	51% Средний	больше 10 лет назад
BDU:2022-02521 Уязвимость функция phar_parse_metadata (ext/phar/phar.c) интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании или, возможно, оказать другое воздействие	CVSS3: 6.5	18% Средний	больше 10 лет назад
BDU:2022-02531 Уязвимость функции ftp_genlist интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код	CVSS3: 6.5	21% Средний	больше 10 лет назад
CVE-2015-8874 Stack consumption vulnerability in GD in PHP before 5.6.12 allows remote attackers to cause a denial of service via a crafted imagefilltoborder call.	CVSS2: 4.3	4% Низкий	больше 10 лет назад
CVE-2015-4598 PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 does not ensure that pathnames lack %00 sequences, which might allow remote attackers to read or write to arbitrary files via crafted input to an application that calls (1) a DOMDocument save method or (2) the GD imagepsloadfont function, as demonstrated by a filename\0.html attack that bypasses an intended configuration in which client users may write to only .html files.	CVSS2: 4	1% Низкий	больше 10 лет назад
CVE-2015-8838 ext/mysqlnd/mysqlnd.c in PHP before 5.4.43, 5.5.x before 5.5.27, and 5.6.x before 5.6.11 uses a client SSL option to mean that SSL is optional, which allows man-in-the-middle attackers to spoof servers via a cleartext-downgrade attack, a related issue to CVE-2015-3152.	CVSS2: 4.3	1% Низкий	больше 10 лет назад
CVE-2015-3307 The phar_parse_metadata function in ext/phar/phar.c in PHP before 5.4.40, 5.5.x before 5.5.24, and 5.6.x before 5.6.8 allows remote attackers to cause a denial of service (heap metadata corruption) or possibly have unspecified other impact via a crafted tar archive.	CVSS2: 5.1	18% Средний	больше 10 лет назад
CVE-2015-4021 The phar_parse_tarfile function in ext/phar/tar.c in PHP before 5.4.41, 5.5.x before 5.5.25, and 5.6.x before 5.6.9 does not verify that the first character of a filename is different from the \0 character, which allows remote attackers to cause a denial of service (integer underflow and memory corruption) via a crafted entry in a tar archive.	CVSS2: 5.1	42% Средний	больше 10 лет назад

Уязвимостей на страницу