Разработчики по всему миру получили новое предупреждение о критических уязвимостях в PHP, которые могут вызвать опасные атаки, такие как SQL-инъекции и условия отказа в обслуживании (DoS). Эти уязвимости, отмеченные как CVE-2025-1735 и CVE-2025-6491, подчеркивают необходимость срочного обновления ваших PHP-инсталляций.
Причины уязвимостей
Первая уязвимость, CVE-2025-1735, расположена в расширении PostgreSQL и возникает из-за недостаточной проверки ошибок при операциях экранирования строк. В процессе вызова PQescapeStringConn() PHP не передает параметры ошибок и не проверяет возврат NULL из PQescapeIdentifier(). Эта проблема связана с уязвимостью PostgreSQL CVE-2025-1094.
Вторая уязвимость, CVE-2025-6491, присуща SOAP-расширению и проявляется при создании SoapVar с полностью квалифицированным именем или префиксом пространства имен, которые превышают 2 ГБ. Недостаток в libxml2, предшествующих версиям 2.13, делает невозможным обработку вызовов xmlNodeSetName() с именами более 2 ГБ, оставляя узлы с именами NULL и вызывая аварии при сериализации.
Рекомендации и меры защиты
Администраторам и разработчикам настоятельно рекомендуется обновить PHP до исправленных выпусков для всех затронутых ветвей, включая версии до 8.1.33, 8.2.29, 8.3.23 и 8.4.10, чтобы избежать SQL-инъекций и атак, нарушающих работу служб. Это обновление существенно снижает риск эксплуатации данных уязвимостей и защищает приложения от потенциальных угроз.
Сейчас время — ключевой фактор. Убедитесь, что ваши системы оснащены актуальными обновлениями, чтобы минимизировать возможные последствия этих уязвимостей. Установите необходимые патчи и внимательно следите за дальнейшими сообщениями об обеспечении безопасности.