PHP — популярный язык сценариев общего назначения, особенно подходящий для веб-разработки.
Релизный цикл, информация об уязвимостях
График релизов
Количество 3 889
GHSA-pcmh-g36c-qc44
Streams HTTP wrapper does not fail for headers with invalid name and no colon
GHSA-v8xr-gpvj-cx9g
Header parser of `http` stream wrapper does not handle folded headers
BDU:2025-02827
Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
BDU:2025-02835
Уязвимость интерпретатора языка программирования PHP, связанная с ошибкой числового усечения, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес или вызвать отказ в обслуживании
BDU:2025-02834
Уязвимость функции check_has_header() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02829
Уязвимость функций php_libxml_input_buffer_create_filename() и php_libxml_sniff_charset_from_stream() интерпретатора языка программирования PHP, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
BDU:2025-06050
Уязвимость функции php_request_shutdown интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код
BDU:2025-02828
Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
GHSA-4qmr-c42j-3wg2
In PHP versions 8.0.* before 8.0.27, 8.1.* before 8.1.15, 8.2.* before 8.2.2 when using PDO::quote() function to quote user-supplied data for SQLite, supplying an overly long string may cause the driver to incorrectly quote the data, which may further lead to SQL injection vulnerabilities.
CVE-2022-31631
In PHP versions 8.0.* before 8.0.27, 8.1.* before 8.1.15, 8.2.* before 8.2.2 when using PDO::quote() function to quote user-supplied data for SQLite, supplying an overly long string may cause the driver to incorrectly quote the data, which may further lead to SQL injection vulnerabilities.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
| GHSA-pcmh-g36c-qc44 Streams HTTP wrapper does not fail for headers with invalid name and no colon | 0% Низкий | около 1 года назад | |
| GHSA-v8xr-gpvj-cx9g Header parser of `http` stream wrapper does not handle folded headers | 0% Низкий | около 1 года назад | |
 | BDU:2025-02827 Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) | CVSS3: 4.3 | 0% Низкий | около 1 года назад |
| BDU:2025-02835 Уязвимость интерпретатора языка программирования PHP, связанная с ошибкой числового усечения, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес или вызвать отказ в обслуживании | CVSS3: 4.3 | 1% Низкий | около 1 года назад |
| BDU:2025-02834 Уязвимость функции check_has_header() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 4.3 | 0% Низкий | около 1 года назад |
| BDU:2025-02829 Уязвимость функций php_libxml_input_buffer_create_filename() и php_libxml_sniff_charset_from_stream() интерпретатора языка программирования PHP, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес | CVSS3: 3.5 | 0% Низкий | около 1 года назад |
| BDU:2025-06050 Уязвимость функции php_request_shutdown интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код | CVSS3: 8.1 | 1% Низкий | около 1 года назад |
| BDU:2025-02828 Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) | CVSS3: 4.3 | 0% Низкий | около 1 года назад |
| GHSA-4qmr-c42j-3wg2 In PHP versions 8.0.* before 8.0.27, 8.1.* before 8.1.15, 8.2.* before 8.2.2 when using PDO::quote() function to quote user-supplied data for SQLite, supplying an overly long string may cause the driver to incorrectly quote the data, which may further lead to SQL injection vulnerabilities. | CVSS3: 9.1 | 1% Низкий | около 1 года назад |
 | CVE-2022-31631 In PHP versions 8.0.* before 8.0.27, 8.1.* before 8.1.15, 8.2.* before 8.2.2 when using PDO::quote() function to quote user-supplied data for SQLite, supplying an overly long string may cause the driver to incorrectly quote the data, which may further lead to SQL injection vulnerabilities. | CVSS3: 9.1 | 1% Низкий | около 1 года назад |
Уязвимостей на страницу