INFSA-2025:7315: Устранение уязвимостей php
Информация о бюллетене
Идентификатор: INFSA-2025:7315
Тип: устранение уязвимостей
Дата публикации: 2025-06-10 11:38:05 UTC
Информация о пакете
PHP — это язык сценариев, которым описываются скрипты, внедряемые в HTML. Обычно используется с HTTP-сервером Apache.
Описание уязвимостей
- CVE-2024-2756
Уязвимость интерпретатора языка программирования PHP связана с ошибочной обработкой файлов cookie в результате замены пробелов, точек и открытых квадратных скобок на символы подчеркивания. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить сеанс и получить несанкционированный доступ к защищаемой информации.
- CVE-2024-3096
Уязвимость функции password_verify() интерпретатора языка программирования PHP связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению.
- CVE-2024-5458
Уязвимость функции filter_var интерпретатора языка программирования PHP связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, подменить URL-адреса с ошибочными данными.
- CVE-2024-8925
Уязвимость интерпретатора языка программирования PHP связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
- CVE-2024-8927
Уязвимость сценария cgi.force_redirect интерпретатора языка программирования PHP связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и выполнить произвольные команды.
- CVE-2024-9026
Уязвимость интерпретатора языка программирования PHP связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и манипулировать журналами PHP-FPM.
- CVE-2024-11233
Уязвимость фильтра convert.quoted-printable-decode интерпретатора языка программирования PHP связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-11234
Уязвимость конфигурации request_fulluri интерпретатора языка программирования PHP связана с непринятием мер по нейтрализации CRLF-последовательностей в результате использования значения true. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling).
- CVE-2024-8929
Уязвимость функции static enum_func_status php_mysqlnd_rset_field_read() интерпретатора языка программирования PHP связана c недостаточной защитой служебных данных в результате выхода операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2024-11233
|
нет информации | 4.8 | нет информации |
|
NIST — CVE-2024-11234
|
нет информации | 4.8 | нет информации |
|
NIST — CVE-2024-2756
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-3096
|
нет информации | 4.8 | нет информации |
|
NIST — CVE-2024-5458
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2024-8925
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2024-8927
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2024-8929
|
нет информации | 5.8 | нет информации |
|
NIST — CVE-2024-9026
|
нет информации | 3.3 | нет информации |
Обновлённые пакеты