ALT-PU-2024-18156-1 — php8.3-soap

BDU:2024-03214

HIGH7.5

Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2024-04-23Изменено: 2025-09-09

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

BDU:2024-03215

CRITICAL9.1

Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению

Опубликовано: 2024-04-23Изменено: 2025-09-09

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVSS 2.0КРИТИЧЕСКАЯ 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N

Ссылки

BDU:2025-11445

CRITICAL9.4

Уязвимость функции proc_open() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольные команды

Опубликовано: 2025-09-21Изменено: 2025-10-01

CVSS 3.xКРИТИЧЕСКАЯ 9.4

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

CVSS 2.0КРИТИЧЕСКАЯ 9.7

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:P

Ссылки

CVE-2024-1874

CRITICAL9.4

In PHP versions 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, when using proc_open() command with array syntax, due to insufficient escaping, if the arguments of the executed command are controlled by a malicious user, the user can supply arguments that would execute arbitrary commands in Windows shell.

Опубликовано: 2024-04-29Изменено: 2025-11-04

CVSS 3.xКРИТИЧЕСКАЯ 9.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

Ссылки

CVE-2024-2757

HIGH7.5

In PHP 8.3.* before 8.3.5, function mb_encode_mimeheader() runs endlessly for some inputs that contain long strings of non-space characters followed by a space. This could lead to a potential DoS attack if a hostile user sends data to an application that uses this function.

Опубликовано: 2024-04-29Изменено: 2025-11-04

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2024-3096

MEDIUM6.5

In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.

Опубликовано: 2024-04-29Изменено: 2025-11-04

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Ссылки

Обновление пакета php8.3-soap в ветке sisyphus

Закрытые проблемы (6)

Уязвимость функции mb_encode_mimeheader() интерпретатора языка программирования PHP, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции proc_open() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольные команды

In PHP 8.3.* before 8.3.5, function mb_encode_mimeheader() runs endlessly for some inputs that contain long strings of non-space characters followed by a space. This could lead to a potential DoS attack if a hostile user sends data to an application that uses this function.

In PHP version 8.1.* before 8.1.28, 8.2.* before 8.2.18, 8.3.* before 8.3.5, if a password stored with password_hash() starts with a null byte (\x00), testing a blank string as the password via password_verify() will incorrectly return true.