CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2025-1220

Low
Published: Translated: NVD NIST

Summary

W wersjach PHP: 8.1.* przed 8.1.33, 8.2.* przed 8.2.29, 8.3.* przed 8.3.23, 8.4.* przed 8.4.10 niektóre funkcje, takie jak fsockopen(), nie weryfikują, czy dostarczona nazwa hosta nie zawiera znaków null. Może to prowadzić do nieprawidłowego traktowania nazwy hosta przez inne funkcje, takie jak parse_url().

Risk Assessment

Brak walidacji nazw hostów może prowadzić do nieprzewidzianych zachowań aplikacji, co stwarza ryzyko wykorzystania podatności przez atakujących. Może to skutkować nieautoryzowanym dostępem lub innymi problemami z bezpieczeństwem.

Recommendation

Zaleca się aktualizację PHP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić walidację nazw hostów w aplikacjach korzystających z funkcji fsockopen().

Original NVD description (English source)

In PHP versions:8.1.* before 8.1.33, 8.2.* before 8.2.29, 8.3.* before 8.3.23, 8.4.* before 8.4.10 some functions like fsockopen() lack validation that the hostname supplied does not contain null characters. This may lead to other functions like parse_url() treat the hostname in different way, thus

Vulnerability data from NVD (NIST) · CISA KEV · EPSS