PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.

Релизный цикл, информация об уязвимостях

Продукт: PHP

Вендор: php

График релизов

Недавние уязвимости PHP

Количество 3 883

CVE-2022-31630

около 3 лет назад

In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.

CVSS3: 6.5

EPSS: Низкий

BDU:2022-07409

около 3 лет назад

Уязвимость функции imageloadfont() интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

CVSS3: 7.1

EPSS: Низкий

BDU:2024-07320

больше 3 лет назад

Уязвимость функции PDO::quote компонента ext/pdo_sqlite/sqlite_driver.c языка программирования PHP, связанная с целочисленным переполнением, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

CVSS3: 6.9

EPSS: Низкий

CVE-2022-31630

больше 3 лет назад

CVSS3: 6.5

EPSS: Низкий

CVE-2022-37454

больше 3 лет назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.

CVSS3: 9.8

EPSS: Низкий

CVE-2022-37454

больше 3 лет назад

The Keccak XKCP SHA-3 reference implementation before fdc6fef has an i ...

CVSS3: 9.8

EPSS: Низкий

CVE-2022-37454

больше 3 лет назад

CVSS3: 9.8

EPSS: Низкий

CVE-2024-5458

больше 3 лет назад

In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.

CVSS3: 5.3

EPSS: Низкий

BDU:2022-06445

больше 3 лет назад

Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код

CVSS3: 9.8

EPSS: Низкий

CVE-2022-37454

больше 3 лет назад

CVSS3: 8.1

EPSS: Низкий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2022-31630 In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.	CVSS3: 6.5	0% Низкий	около 3 лет назад
BDU:2022-07409 Уязвимость функции imageloadfont() интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании	CVSS3: 7.1	0% Низкий	около 3 лет назад
BDU:2024-07320 Уязвимость функции PDO::quote компонента ext/pdo_sqlite/sqlite_driver.c языка программирования PHP, связанная с целочисленным переполнением, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании	CVSS3: 6.9	1% Низкий	больше 3 лет назад
CVE-2022-31630 In PHP versions prior to 7.4.33, 8.0.25 and 8.1.12, when using imageloadfont() function in gd extension, it is possible to supply a specially crafted font file, such as if the loaded font is used with imagechar() function, the read outside allocated buffer will be used. This can lead to crashes or disclosure of confidential information.	CVSS3: 6.5	0% Низкий	больше 3 лет назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.	CVSS3: 9.8	1% Низкий	больше 3 лет назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an i ...	CVSS3: 9.8	1% Низкий	больше 3 лет назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.	CVSS3: 9.8	1% Низкий	больше 3 лет назад
CVE-2024-5458 In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly.	CVSS3: 5.3	4% Низкий	больше 3 лет назад
BDU:2022-06445 Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP), позволяющая нарушителю выполнить произвольный код	CVSS3: 9.8	1% Низкий	больше 3 лет назад
CVE-2022-37454 The Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant buffer overflow that allows attackers to execute arbitrary code or eliminate expected cryptographic properties. This occurs in the sponge function interface.	CVSS3: 8.1	1% Низкий	больше 3 лет назад

Уязвимостей на страницу