2025-3544: PHP: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-12-18 14:47)

Neues Advisory

Version 2 (2025-12-19 07:33)

Der Hersteller veröffentlicht die PHP Versionen 8.2.30, 8.3.29, 8.4.16 und 8.5.1 als Sicherheitsupdates, um die Schwachstellen zu beheben.

Version 3 (2025-12-22 08:06)

Der Hersteller hat ebenfalls die PHP Version 8.1.34 als Sicherheitsupdate veröffentlicht, um die Schwachstellen zu beheben.

Version 4 (2025-12-22 09:27)

Für Debian 13 Trixie (stable) steht Version 8.4.16-1~deb13u1 von 'php8.4' bereit, um die Schwachstellen zu beheben.

Version 5 (2026-01-09 08:12)

Für openSUSE Leap 15.6 steht ein Sicherheitsupdate für 'php8' auf Version 8.2.30 bereit, um die drei Schwachstellen und weitere Fehler zu beheben.

Version 6 (2026-01-12 07:53)

Für die SUSE Linux Enterprise Produkte Server 15 SP7 und Server for SAP Applications 15 SP7 sowie für Web and Scripting Module 15 SP7 stehen Sicherheitsupdates für 'php8' auf Version 8.3.29 bereit, um die drei Schwachstellen und weitere Fehler zu beheben.

Version 7 (2026-01-12 12:29)

Für Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.04 und 25.10 stehen Sicherheitsupdates für 'php7.2', 'php7.4', 'php8.1', 'php8.3' und 'php8.4' bereit, um die drei Schwachstellen zu beheben.

Version 8 (2026-01-28 09:54)

Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'php8' bereit, um die Schwachstellen zu beheben. Für Red Hat Enterprise Linux for x86_64 / ARM 64 in Version 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'php:8.3' bereit, um die Schwachstellen zu beheben.

Version 9 (2026-01-29 12:34)

Für die SUSE Linux Enterprise Produkte Server 16.0 und Server for SAP Applications 16.0 stehen Sicherheitsupdates für 'php8' bereit, um drei Schwachstellen zu beheben. Für Oracle Linux in Version 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'php:8.3' bereit, um drei Schwachstellen zu beheben.

Version 10 (2026-02-02 08:43)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 in Version 10 (x86_64, aarch64) stehen Sicherheitsupdates für 'php' bereit, um drei Schwachstellen zu beheben.

Version 11 (2026-02-03 07:17)

Für Oracle Linux in Version 10 (x86_64, aarch64) stehen zu RHSA-2026:1628 korrespondierende Sicherheitsupdates für 'php' bereit, um drei Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 42 und 43 steht das Paket 'php-8.4.16-1' im Status 'testing' bereit, um drei Schwachstellen zu beheben.

Der Hersteller hat die betreffenden Changelogs zu den gefixten Versionen selbst bislang noch nicht veröffentlicht.

Schwachstellen:

CVE-2025-14177

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

CVE-2025-14178

Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-14180

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

GHSA-www2-q4fc-65wf

Schwachstelle in PHP ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.